trojan.Heur.FU.Gqz Résolu/Fermé

Question

Bonjour, 

Depuis hier mon pc, après démarrage, est très très lent (au minimum 5 à 10 min pour ouvrir n'importe quelle application, quand elle arrive à s'ouvrir... : explorateur windows, internet, malwarebytes, antivirus orange...).

Comme je ne pouvais plus accéder à rien ce matin, j'ai démarré en mode sans echec et ait pu effectuer une analyse malwarebytes (qui n'a rien détecté) et j'ai demandé un scandisk au redémarrage mais je n'ai pas pu lancer une analyse antivirus.

Suite au redemarrage en mode "normal" et après une très longue attente, j'ai enfin pu ouvrir mon antivirus (mais pas l'exécuter) qui m'indique avoir stopper une attaque de trojan.Heur.FU.Gqz le 22/11 (jeudi dernier).
En consultant l'historique je constate que ce n'est pas la première fois que mon pc subit ces attaques puisqu'il y en a eu aussi le 3/11 et le 22/10 mais je n'ai pas eu (ou pas vu..) de messages d'alerte.

Pouvez-vous m'aider svp ?

config Windows 7 / Internet Explorer 9.0 / Firefox 16.0.2, mais il a beaucoup de mal à répondre...)

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

Enilor · Answer

Merci de ton aide.

J'ai essayé pre_scan, mais il a fait un message d'erreur pendant l'exécution => "Error variable must be type of object"
J'ai du redémarrer et comme mon pc est très lent ça a mis un certain temps.
J'essaye maintenant avec la version .pif et te tiens informé.
ça risque d'être long surtout si je dois encore redémarrer le poste.
à tout à l'heure et merci encore

g3n-h@ckm@n · Answer

ligne 9600 ?

Enilor · Answer

Honnêtement, je ne sais pas.
Il a fait restoring puis killing processes, créating restore point et making list of infection et après j'ai eu le message d'erreur.
Tu veux que je le relance tel quel pour vérifier ?

g3n-h@ckm@n · Answer

oué il va te donner un numero de ligne

g3n-h@ckm@n · Answer

ok en mode sans echec alors

g3n-h@ckm@n · Answer

le pif

g3n-h@ckm@n · Answer

selectionne ce texte :

WMI::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

========

ensuite après redemarrage , relance un scan voir...

Enilor · Answer

Fait : le programme s'est exécuté super vite et l'ordi à redémarré dans la foulée.
Je n'ai pas l'impression que le Pre_Script.txt va t'aider beaucoup, voici ce qu'il y a dedans :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1124 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

JBF : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 18:14:57

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ | WMI


End : 18:15:01

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

J'ai ensuite relancer Pre_Scan et j'ai toujours le même message d'erreur à la ligne 9510.
Seule nouveauté, ça rame un peu moins après le redémarrage.

g3n-h@ckm@n · Answer

fournis le rapport hébergé sur https://www.cjoint.com/ que tu as dans C:\Pre_scan.txt
et fournis aussi C:\Pre_Scan\Process\Close.txt

Enilor · Answer

Voici le lien vers Pre_scan.txt => https://www.cjoint.com/?3KytnfS6oaR

Dans C:\Pre_Scan\Process\ j'ai Close.log et Process.txt 
Je te poste les 2

Close.log =>

15:14:31 : Attempt to restart stopped : LMS.exe
15:14:42 : Attempt to restart stopped : LMS.exe
15:14:51 : Attempt to restart stopped : SearchIndexer.exe
15:14:52 : Attempt to restart stopped : LMS.exe
15:14:56 : Attempt to restart stopped : spoolsv.exe
15:14:56 : Attempt to restart stopped : AppleMobileDeviceService.exe
15:15:03 : Attempt to restart stopped : LMS.exe
15:15:14 : Attempt to restart stopped : LMS.exe
15:15:24 : Attempt to restart stopped : LMS.exe
15:15:35 : Attempt to restart stopped : LMS.exe
15:15:46 : Attempt to restart stopped : LMS.exe
15:15:56 : Attempt to restart stopped : LMS.exe
15:15:57 : Attempt to restart stopped : spoolsv.exe
15:16:07 : Attempt to restart stopped : LMS.exe
15:16:18 : Attempt to restart stopped : LMS.exe
15:16:28 : Attempt to restart stopped : LMS.exe
15:16:39 : Attempt to restart stopped : LMS.exe
15:16:49 : Attempt to restart stopped : LMS.exe
15:17:00 : Attempt to restart stopped : LMS.exe
15:17:11 : Attempt to restart stopped : LMS.exe
15:17:21 : Attempt to restart stopped : LMS.exe
15:17:32 : Attempt to restart stopped : LMS.exe
15:17:43 : Attempt to restart stopped : LMS.exe
15:17:53 : Attempt to restart stopped : LMS.exe
15:18:04 : Attempt to restart stopped : LMS.exe
15:18:15 : Attempt to restart stopped : LMS.exe
15:18:25 : Attempt to restart stopped : LMS.exe
15:18:36 : Attempt to restart stopped : LMS.exe
15:18:46 : Attempt to restart stopped : LMS.exe
15:18:57 : Attempt to restart stopped : LMS.exe
15:19:08 : Attempt to restart stopped : LMS.exe
15:19:18 : Attempt to restart stopped : LMS.exe
                                                 16:44:06 : Attempt to restart stopped : fsav32.exe
16:44:26 : Attempt to restart stopped : LMS.exe
16:44:38 : Attempt to restart stopped : fsav32.exe
16:44:38 : Attempt to restart stopped : LMS.exe
16:44:48 : Attempt to restart stopped : SearchIndexer.exe
16:44:49 : Attempt to restart stopped : LMS.exe
16:45:00 : Attempt to restart stopped : LMS.exe
16:45:02 : Attempt to restart stopped : spoolsv.exe
16:45:02 : Attempt to restart stopped : AppleMobileDeviceService.exe
16:45:11 : Attempt to restart stopped : LMS.exe
16:45:22 : Attempt to restart stopped : LMS.exe
16:45:30 : Attempt to restart stopped : taskmgr.exe
16:45:32 : Attempt to restart stopped : LMS.exe
16:45:43 : Attempt to restart stopped : LMS.exe
16:45:48 : Attempt to restart stopped : taskmgr.exe
16:45:54 : Attempt to restart stopped : LMS.exe
16:46:02 : Attempt to restart stopped : spoolsv.exe
16:46:02 : Attempt to restart stopped : AppleMobileDeviceService.exe
16:46:05 : Attempt to restart stopped : LMS.exe
16:46:16 : Attempt to restart stopped : LMS.exe
16:46:27 : Attempt to restart stopped : LMS.exe
16:46:37 : Attempt to restart stopped : LMS.exe
16:46:48 : Attempt to restart stopped : LMS.exe
16:46:59 : Attempt to restart stopped : LMS.exe
16:47:10 : Attempt to restart stopped : LMS.exe
16:47:21 : Attempt to restart stopped : LMS.exe
16:47:31 : Attempt to restart stopped : LMS.exe
16:47:42 : Attempt to restart stopped : LMS.exe
16:47:53 : Attempt to restart stopped : LMS.exe
16:48:04 : Attempt to restart stopped : LMS.exe
16:48:15 : Attempt to restart stopped : LMS.exe
16:48:25 : Attempt to restart stopped : LMS.exe
16:48:36 : Attempt to restart stopped : LMS.exe
16:48:47 : Attempt to restart stopped : LMS.exe
16:48:58 : Attempt to restart stopped : LMS.exe
16:49:00 : Attempt to restart stopped : taskeng.exe
16:49:09 : Attempt to restart stopped : LMS.exe
16:49:20 : Attempt to restart stopped : LMS.exe
16:49:30 : Attempt to restart stopped : LMS.exe
16:49:41 : Attempt to restart stopped : LMS.exe
16:49:52 : Attempt to restart stopped : LMS.exe
16:50:03 : Attempt to restart stopped : LMS.exe
16:50:14 : Attempt to restart stopped : LMS.exe
16:50:24 : Attempt to restart stopped : LMS.exe
16:50:35 : Attempt to restart stopped : LMS.exe
16:50:46 : Attempt to restart stopped : LMS.exe
16:50:57 : Attempt to restart stopped : LMS.exe
16:51:08 : Attempt to restart stopped : LMS.exe
16:51:18 : Attempt to restart stopped : LMS.exe
16:51:29 : Attempt to restart stopped : LMS.exe
16:51:40 : Attempt to restart stopped : LMS.exe
16:51:51 : Attempt to restart stopped : LMS.exe
16:52:02 : Attempt to restart stopped : LMS.exe
16:52:13 : Attempt to restart stopped : LMS.exe
16:52:23 : Attempt to restart stopped : LMS.exe
16:52:34 : Attempt to restart stopped : LMS.exe
16:52:45 : Attempt to restart stopped : LMS.exe
16:52:56 : Attempt to restart stopped : LMS.exe
16:53:07 : Attempt to restart stopped : LMS.exe
16:53:17 : Attempt to restart stopped : LMS.exe
16:53:28 : Attempt to restart stopped : LMS.exe
16:53:39 : Attempt to restart stopped : LMS.exe
16:53:50 : Attempt to restart stopped : LMS.exe
16:54:01 : Attempt to restart stopped : LMS.exe
16:54:11 : Attempt to restart stopped : LMS.exe
16:54:22 : Attempt to restart stopped : LMS.exe
16:54:33 : Attempt to restart stopped : LMS.exe
16:54:41 : Attempt to restart stopped : taskmgr.exe
16:54:44 : Attempt to restart stopped : LMS.exe
16:54:55 : Attempt to restart stopped : LMS.exe
16:55:05 : Attempt to restart stopped : LMS.exe
16:55:16 : Attempt to restart stopped : LMS.exe
17:54:13 : Attempt to restart stopped : ctfmon.exe
17:54:28 : Attempt to restart stopped : ctfmon.exe
17:54:28 : Attempt to restart stopped : ctfmon.exe
17:57:32 : Attempt to restart stopped : ctfmon.exe
17:57:47 : Attempt to restart stopped : ctfmon.exe
17:57:47 : Attempt to restart stopped : ctfmon.exe
18:00:58 : Attempt to restart stopped : ctfmon.exe
18:01:13 : Attempt to restart stopped : ctfmon.exe
18:01:13 : Attempt to restart stopped : ctfmon.exe
18:22:11 : Attempt to restart stopped : LMS.exe
18:22:31 : Attempt to restart stopped : SearchIndexer.exe



Process.txt => 

nvvsvc.exe
FBAgent.exe
nvvsvc.exe
AsLdrSrv.exe
smartlogon.exe
GFNEXSrv.exe
taskeng.exe
spoolsv.exe

taskhost.exe
HControl.exe
ATKOSD.exe
armsvc.exe
AppleMobileDeviceService.exe
KBFiltr.exe
WDC.exe
taskeng.exe
GoogleUpdate.exe
sensorsrv.exe
ACMON.exe
BatteryLife.exe
wcourier.exe
ALU.exe
ControlDeckStartUp.exe
OrangeInside.exe
fsgk32st.exe
fsgk32.exe
FSMA32.EXE
LMS.exe
FSHDLL32.EXE
mbamscheduler.exe
AsusWSService.exe
SynTPEnh.exe
SynTPHelper.exe
rundll32.exe
OberonGameConsoleService.exe
NMBgMonitor.exe
OrangeInside.exe
mbamgui.exe
dslmon.exe
FSHDLL64.EXE
ecbl-lbp.exe
HControlUser.exe
ATKOSD2.exe
DMedia.exe
VolPanlu.exe
FSM32.EXE
concentr.exe
iTunesHelper.exe
realsched.exe
Receiver.exe
SeaPort.exe
iPodService.exe
NMIndexingService.exe
fsorsp.exe
NMIndexStoreSvr.exe
wfcrun32.exe
SearchIndexer.exe
LightScribeControlPanel.exe
ADSMTray.exe
fsdfwd.exe
CLMLSvc.exe
RAVCpl64.exe
LSSrvc.exe
ACEngSvr.exe
sppsvc.exe
TrustedInstaller.exe
fsav32.exe
UNS.exe
iexplore.exe
iexplore.exe
SearchProtocolHost.exe
SearchFilterHost.exe

g3n-h@ckm@n · Answer

lol bypassé l'antivirus F-Secure ^^

 
 
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Enilor · Answer

Est-ce que tu peux m'en dire un peu plus sur ce que tu as vu ?
En gros : il a quoi mon pc ? :)

Je suis attendue pour un dîner donc je me reconnecterai tard ou demain matin.

Encore merci pour ton aide

Voici le rapport ComboFix : (il n'y a pas eu de rédemarrage après l'analyse)

ComboFix 12-11-24.02 - JBF 24/11/2012  19:49:16.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7600.0.1252.33.1036.18.3957.2426 [GMT 1:00]
Lancé depuis: c:\users\JBF\Desktop	ontonflingueur.exe
AV: Anti-virus firewall 9.12 *Disabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}
FW: Anti-virus firewall 9.12 *Disabled* {2D7AC0A6-6241-D774-E168-461178D9686C}
SP: Anti-virus firewall 9.12 *Disabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\JBF\AppData\Roaming\ACD Systems\ACDSee\ImageDB.ddf
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-10-24 au 2012-11-24  ))))))))))))))))))))))))))))))))))))
.
.
2012-11-24 19:06 . 2012-11-24 19:06	--------	d-----w-	c:\users\Public\AppData\Local	emp
2012-11-24 19:06 . 2012-11-24 19:06	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-11-24 14:13 . 2012-11-24 17:22	--------	d-----w-	C:\Pre_Scan
2012-11-11 09:42 . 2012-11-11 09:42	73656	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-11-11 09:42 . 2012-11-11 09:42	697272	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-28 08:53 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-10-28 08:53 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-10-28 08:53 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-10-28 08:53 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-10-28 08:53 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-10-28 08:53 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-10-28 08:53 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-10-28 08:53 . 2012-06-02 14:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-10-28 08:53 . 2012-06-02 14:15	36864	----a-w-	c:\windows\system32\wuapp.exe
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-11-24 14:20 . 2012-07-16 15:43	45056	----a-w-	c:\windows\system32\acovcnt.exe
2012-10-25 18:20 . 2012-10-25 18:20	108008	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
2012-10-25 18:20 . 2012-10-25 18:21	289768	----a-w-	c:\windows\system32\javaws.exe
2012-10-25 18:20 . 2012-10-25 18:20	189416	----a-w-	c:\windows\system32\javaw.exe
2012-10-25 18:20 . 2012-10-25 18:20	188904	----a-w-	c:\windows\system32\java.exe
2012-10-25 18:20 . 2012-10-25 18:21	916456	----a-w-	c:\windows\system32\deployJava1.dll
2012-10-25 18:20 . 2012-10-25 18:21	1034216	----a-w-	c:\windows\system32
pDeployJava1.dll
2012-10-21 13:58 . 2012-10-21 13:58	95208	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-10-21 13:58 . 2012-07-17 17:14	821736	----a-w-	c:\windows\SysWow64
pDeployJava1.dll
2012-10-21 13:58 . 2011-01-06 18:43	746984	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-10-21 13:54 . 2012-10-21 13:54	0	----a-w-	c:\windows\SysWow64\REN78DD.tmp
2012-10-21 13:54 . 2012-10-21 13:54	0	----a-w-	c:\windows\SysWow64\REN78DC.tmp
2012-10-21 12:29 . 2012-10-21 12:29	0	----a-w-	c:\windows\SysWow64\REN5851.tmp
2012-10-21 12:29 . 2012-10-21 12:29	0	----a-w-	c:\windows\SysWow64\REN5850.tmp
2012-10-21 12:19 . 2012-10-21 12:19	499712	----a-w-	c:\windows\SysWow64\msvcp71.dll
2012-10-21 12:19 . 2012-10-21 12:19	348160	----a-w-	c:\windows\SysWow64\msvcr71.dll
2012-10-21 11:41 . 2012-10-21 11:41	0	----a-w-	c:\windows\SysWow64\REN5FDE.tmp
2012-10-21 11:41 . 2012-10-21 11:41	0	----a-w-	c:\windows\SysWow64\REN5FCD.tmp
2012-09-29 17:54 . 2012-07-16 18:33	25928	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-11 18:27 . 2012-09-11 18:27	0	----a-w-	c:\windows\SysWow64\REN7AFA.tmp
2012-09-11 18:27 . 2012-09-11 18:27	0	----a-w-	c:\windows\SysWow64\REN7AF9.tmp
1999-06-25 09:55 . 2010-11-08 06:30	149504	----a-w-	c:\program files (x86)\UNWISE.EXE
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 01:08	143360	----a-w-	c:\program files (x86)\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt1.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"OrangeInside"="c:\users\JBF\AppData\Roaming\Orange\OrangeInside\one\OrangeInside.exe" [2012-09-06 1511424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"UpdateLBPShortCut"="c:\program files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"UpdateP2GoShortCut"="c:\program files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"HControlUser"="c:\program files (x86)\ASUS\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
"ATKOSD2"="c:\program files (x86)\ASUS\ATKOSD2\ATKOSD2.exe" [2009-10-09 6937216]
"ATKMEDIA"="c:\program files (x86)\ASUS\ATK Media\DMedia.exe" [2009-08-20 170624]
"VolPanel"="c:\program files (x86)\Creative\SB Audigy\Volume Panel\VolPanlu.exe" [2008-12-30 237693]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"F-Secure Manager"="c:\program files (x86)\Orange\Antivirus Firewall\Common\FSM32.EXE" [2009-11-18 201128]
"F-Secure TNB"="c:\program files (x86)\Orange\Antivirus Firewall\FSGUI\TNBUtil.exe" [2009-11-18 1655208]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"ConnectionCenter"="c:\program files (x86)\Citrix\ICA Client\concentr.exe" [2011-08-11 358336]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-09-09 421776]
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\updateealsched.exe" [2012-10-21 296096]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
DSLMON.lnk - c:\program files (x86)\SAGEM\SAGEM F@st 800-840\dslmon.exe [2010-11-3 1876560]
e-Carte Bleue La Banque Postale.lnk - c:\program files (x86)\e-Carte Bleue La Banque Postale\ecbl-lbp.exe [2010-11-3 278528]
FancyStart daemon.lnk - c:\windows\Installer\{60D6618B-153F-4353-8185-908E676E5888}\_DCE9A4DB2A5F2786140FA3.exe [2010-1-25 12862]
Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 E4LOADER;General Purpose USB Driver (e4ldrx64.sys);c:\windows\system32\Drivers\e4ldrx64.sys [2007-01-04 71832]
R2 Orange update Core Service;Orange update Core Service;c:\program files (x86)\Orange\OrangeUpdate\Service\OUCore.exe [2012-04-13 1081984]
R3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe [2010-01-25 79360]
R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2010-01-25 79360]
R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\DRIVERS\e4usbawx64.sys [2007-01-04 146968]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [2009-06-10 56832]
S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [2012-08-15 56016]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [2011-08-10 91864]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files (x86)\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys [2009-11-18 59784]
S1 FSES;F-Secure Email Scanning Driver;c:\windows\system32\drivers\fses.sys [2009-11-18 46344]
S1 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2009-11-18 94024]
S1 fsvista;F-Secure Vista Support Driver;c:\program files (x86)\Orange\Antivirus Firewall\Anti-Virus\minifilter\fsvista.sys [2009-11-18 16768]
S2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [2009-09-17 359552]
S2 ASMMAP64;ASMMAP64;c:\program files\ATKGFNEX\ASMMAP64.sys [2007-07-24 14904]
S2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-09-29 399432]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-09-29 676936]
S2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files (x86)\Asus\Game Park\GameConsole\OberonGameConsoleService.exe [2009-09-15 44312]
S2 rimspci;rimspci;c:\windows\system32\DRIVERSimspe64.sys [2009-07-02 60416]
S2 rixdpcie;rixdpcie;c:\windows\system32\DRIVERSixdpe64.sys [2009-07-05 55808]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-10-01 2314240]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files (x86)\Orange\Antivirus Firewall\Anti-Virus\minifilter\fsgk.sys [2012-11-01 199736]
S3 FSORSPClient;F-Secure ORSP Client;c:\program files (x86)\Orange\Antivirus Firewall\ORSP Client\fsorsp.exe [2011-05-23 61088]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 151936]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [2009-06-29 58368]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-09-29 25928]
S3 NETw1v64;Intel(R) Wireless WiFi Link 1000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw1v64.sys [2009-08-10 7058432]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 15:53	451872	----a-w-	c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-31 19:22]
.
2012-11-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-31 19:22]
.
2012-09-30 c:\windows\Tasks\ReclaimerResumeInstall_JBF.job
- c:\users\JBF\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.20\agentnupgagent.exe [2012-09-29 18:45]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 00:52	159744	----a-w-	c:\program files (x86)\ASUS\ASUS Data Security Manager\ShlExt\x64\OverlayIconShlExt1_64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
@="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
[HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
2009-11-26 05:49	70656	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
@="{64174815-8D98-4CE6-8646-4C039977D808}"
[HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
2009-11-26 05:49	70656	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EeeStorageBackup"="c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2009-11-26 1732608]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-03 16395880]
"RunDLLEntry"="c:\windows\system32\AmbRunE.dll" [2009-02-26 17920]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: ajouter cette page à vos favoris Orange - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: envoyer le texte sélectionné par sms - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
IE: envoyer par sms - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendsms_html\sendsms.html
IE: envoyer un mail - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendmail_html\sendmail.html
IE: orange.fr - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\orange_html\orange.html
IE: rechercher le texte sélectionné - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
IE: traduire la page - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src	ranslate_html	ranslate.html
IE: traduire le texte sélectionné - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src	ranslateSelectedText_html	ranslateSelectedText.html
IE: _ajouter cette page à vos favoris Orange - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
IE: _envoyer le texte sélectionné par sms - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
IE: _envoyer par sms - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendsms_html\sendsms.html
IE: _envoyer un mail - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendmail_html\sendmail.html
IE: _orange.fr - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\orange_html\orange.html
IE: _rechercher le texte sélectionné - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
IE: _traduire la page - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src	ranslate_html	ranslate.html
IE: _traduire le texte sélectionné - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src	ranslateSelectedText_html	ranslateSelectedText.html
LSP: c:\program files (x86)\Orange\Antivirus Firewall\FSPS\program\FSLSP.DLL
Trusted Zone: orange.fr\logicielsgratuits
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\JBF\AppData\Roaming\Mozilla\Firefox\Profiles\pqlw35i7.default-1350814343750\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - ExtSQL: 2012-10-08 17:51; litmus-ff@f-secure.com; c:\program files (x86)\Orange\Antivirus Firewall\NRS\litmus-ff@f-secure.com
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
AddRemove-ASUS_ScreenSaver_GSeries - c:\windows\system32\ASUS_ScreenSaver_GSeries.scr
AddRemove-Close Combat Last Stand Arnhem5.60 - c:\windows\Close Combat Last Stand Arnhem\uninstall.exe
AddRemove-FoxTab PDF Creator - c:\program files (x86)\FoxTabPDFConverter\Uninstall\Uninstall.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil64_11_5_502_110_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\Windows\system32\Macromed\Flash\FlashUtil64_11_5_502_110_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_5_502_110_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_5_502_110_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_5_502_110.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_5_502_110.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_5_502_110.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_5_502_110.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
Heure de fin: 2012-11-24  20:18:25
ComboFix-quarantined-files.txt  2012-11-24 19:18
.
Avant-CF: 125 620 088 832 octets libres
Après-CF: 125 287 444 480 octets libres
.
- - End Of File - - 268967B51D2F2A2770037E57191E15CB

g3n-h@ckm@n · Answer

ton pc ? j'en sais rien ce qu'il a

mais t'inquiete pas je gère

par contre j'aimerais que tu m'analyses ce fichier :

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system32\acovcnt.exe 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

g3n-h@ckm@n · Answer

bah remets-le par defaut ^^

pour le fichier , copie-le sur ton bureaui et analyse-le de là

g3n-h@ckm@n · Answer

retelecharge Pre_scan , lance-le , clique sur No Process

relance-le clique sur Scan|Kill , il devrait faire son travail maintenant

Enilor · Answer

:'(
J'ai fait ce que tu as dis et Pre_scan s'est à nouveau arrêté avec le même message d'erreur "Error variable must be of type object" => ligne 11625 cette fois.
A priori, il était dans C:\Bios.Bin

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Enilor · Answer

Voici le rapport ComboFix :

ComboFix 12-11-25.01 - JBF 25/11/2012  14:31:37.2.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7600.0.1252.33.1036.18.3957.2428 [GMT 1:00]
Lancé depuis: c:\users\JBF\Desktop	onton2.exe
AV: Anti-virus firewall 9.12 *Disabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}
FW: Anti-virus firewall 9.12 *Disabled* {2D7AC0A6-6241-D774-E168-461178D9686C}
SP: Anti-virus firewall 9.12 *Disabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-10-25 au 2012-11-25  ))))))))))))))))))))))))))))))))))))
.
.
2012-11-25 13:48 . 2012-11-25 13:48	--------	d-----w-	c:\users\Public\AppData\Local	emp
2012-11-25 13:48 . 2012-11-25 13:48	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-11-25 13:09 . 2012-11-25 13:09	45056	----a-w-	c:\windows\system32\acovcnt.exe
2012-11-24 14:13 . 2012-11-25 12:58	--------	d-----w-	C:\Pre_Scan
2012-11-11 09:42 . 2012-11-11 09:42	73656	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2012-11-11 09:42 . 2012-11-11 09:42	697272	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2012-10-28 08:53 . 2012-06-02 22:19	2428952	----a-w-	c:\windows\system32\wuaueng.dll
2012-10-28 08:53 . 2012-06-02 22:19	57880	----a-w-	c:\windows\system32\wuauclt.exe
2012-10-28 08:53 . 2012-06-02 22:19	44056	----a-w-	c:\windows\system32\wups2.dll
2012-10-28 08:53 . 2012-06-02 22:15	2622464	----a-w-	c:\windows\system32\wucltux.dll
2012-10-28 08:53 . 2012-06-02 22:19	38424	----a-w-	c:\windows\system32\wups.dll
2012-10-28 08:53 . 2012-06-02 22:19	701976	----a-w-	c:\windows\system32\wuapi.dll
2012-10-28 08:53 . 2012-06-02 22:15	99840	----a-w-	c:\windows\system32\wudriver.dll
2012-10-28 08:53 . 2012-06-02 14:19	186752	----a-w-	c:\windows\system32\wuwebv.dll
2012-10-28 08:53 . 2012-06-02 14:15	36864	----a-w-	c:\windows\system32\wuapp.exe
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-25 18:20 . 2012-10-25 18:20	108008	----a-w-	c:\windows\system32\WindowsAccessBridge-64.dll
2012-10-25 18:20 . 2012-10-25 18:21	289768	----a-w-	c:\windows\system32\javaws.exe
2012-10-25 18:20 . 2012-10-25 18:20	189416	----a-w-	c:\windows\system32\javaw.exe
2012-10-25 18:20 . 2012-10-25 18:20	188904	----a-w-	c:\windows\system32\java.exe
2012-10-25 18:20 . 2012-10-25 18:21	916456	----a-w-	c:\windows\system32\deployJava1.dll
2012-10-25 18:20 . 2012-10-25 18:21	1034216	----a-w-	c:\windows\system32
pDeployJava1.dll
2012-10-21 13:58 . 2012-10-21 13:58	95208	----a-w-	c:\windows\SysWow64\WindowsAccessBridge-32.dll
2012-10-21 13:58 . 2012-07-17 17:14	821736	----a-w-	c:\windows\SysWow64
pDeployJava1.dll
2012-10-21 13:58 . 2011-01-06 18:43	746984	----a-w-	c:\windows\SysWow64\deployJava1.dll
2012-10-21 13:54 . 2012-10-21 13:54	0	----a-w-	c:\windows\SysWow64\REN78DD.tmp
2012-10-21 13:54 . 2012-10-21 13:54	0	----a-w-	c:\windows\SysWow64\REN78DC.tmp
2012-10-21 12:29 . 2012-10-21 12:29	0	----a-w-	c:\windows\SysWow64\REN5851.tmp
2012-10-21 12:29 . 2012-10-21 12:29	0	----a-w-	c:\windows\SysWow64\REN5850.tmp
2012-10-21 12:19 . 2012-10-21 12:19	499712	----a-w-	c:\windows\SysWow64\msvcp71.dll
2012-10-21 12:19 . 2012-10-21 12:19	348160	----a-w-	c:\windows\SysWow64\msvcr71.dll
2012-10-21 11:41 . 2012-10-21 11:41	0	----a-w-	c:\windows\SysWow64\REN5FDE.tmp
2012-10-21 11:41 . 2012-10-21 11:41	0	----a-w-	c:\windows\SysWow64\REN5FCD.tmp
2012-09-29 17:54 . 2012-07-16 18:33	25928	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-09-11 18:27 . 2012-09-11 18:27	0	----a-w-	c:\windows\SysWow64\REN7AFA.tmp
2012-09-11 18:27 . 2012-09-11 18:27	0	----a-w-	c:\windows\SysWow64\REN7AF9.tmp
1999-06-25 09:55 . 2010-11-08 06:30	149504	----a-w-	c:\program files (x86)\UNWISE.EXE
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 01:08	143360	----a-w-	c:\program files (x86)\ASUS\ASUS Data Security Manager\ShlExt\x86\OverlayIconShlExt1.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files (x86)\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"OrangeInside"="c:\users\JBF\AppData\Roaming\Orange\OrangeInside\one\OrangeInside.exe" [2012-09-06 1511424]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"UpdateLBPShortCut"="c:\program files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"UpdateP2GoShortCut"="c:\program files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2009-05-20 222504]
"HControlUser"="c:\program files (x86)\ASUS\ATK Hotkey\HControlUser.exe" [2009-06-19 105016]
"ATKOSD2"="c:\program files (x86)\ASUS\ATKOSD2\ATKOSD2.exe" [2009-10-09 6937216]
"ATKMEDIA"="c:\program files (x86)\ASUS\ATK Media\DMedia.exe" [2009-08-20 170624]
"VolPanel"="c:\program files (x86)\Creative\SB Audigy\Volume Panel\VolPanlu.exe" [2008-12-30 237693]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"F-Secure Manager"="c:\program files (x86)\Orange\Antivirus Firewall\Common\FSM32.EXE" [2009-11-18 201128]
"F-Secure TNB"="c:\program files (x86)\Orange\Antivirus Firewall\FSGUI\TNBUtil.exe" [2009-11-18 1655208]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
"ConnectionCenter"="c:\program files (x86)\Citrix\ICA Client\concentr.exe" [2011-08-11 358336]
"APSDaemon"="c:\program files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2012-04-18 421888]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2012-09-09 421776]
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\updateealsched.exe" [2012-10-21 296096]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
DSLMON.lnk - c:\program files (x86)\SAGEM\SAGEM F@st 800-840\dslmon.exe [2010-11-3 1876560]
e-Carte Bleue La Banque Postale.lnk - c:\program files (x86)\e-Carte Bleue La Banque Postale\ecbl-lbp.exe [2010-11-3 278528]
FancyStart daemon.lnk - c:\windows\Installer\{60D6618B-153F-4353-8185-908E676E5888}\_DCE9A4DB2A5F2786140FA3.exe [2010-1-25 12862]
Microsoft Office.lnk - c:\program files (x86)\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 E4LOADER;General Purpose USB Driver (e4ldrx64.sys);c:\windows\system32\Drivers\e4ldrx64.sys [2007-01-04 71832]
R2 Orange update Core Service;Orange update Core Service;c:\program files (x86)\Orange\OrangeUpdate\Service\OUCore.exe [2012-04-13 1081984]
R3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe [2010-01-25 79360]
R3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe [2010-01-25 79360]
R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\DRIVERS\e4usbawx64.sys [2007-01-04 146968]
R3 SiSGbeLH;SiS191/SiS190 Ethernet Device NDIS 6.0 Driver;c:\windows\system32\DRIVERS\SiSG664.sys [2009-06-10 56832]
S0 fsbts;fsbts;c:\windows\system32\Drivers\fsbts.sys [2012-08-15 56016]
S1 ctxusbm;Citrix USB Monitor Driver;c:\windows\system32\DRIVERS\ctxusbm.sys [2011-08-10 91864]
S1 F-Secure HIPS;F-Secure HIPS Driver;c:\program files (x86)\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys [2009-11-18 59784]
S1 FSES;F-Secure Email Scanning Driver;c:\windows\system32\drivers\fses.sys [2009-11-18 46344]
S1 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2009-11-18 94024]
S1 fsvista;F-Secure Vista Support Driver;c:\program files (x86)\Orange\Antivirus Firewall\Anti-Virus\minifilter\fsvista.sys [2009-11-18 16768]
S2 AFBAgent;AFBAgent;c:\windows\system32\FBAgent.exe [2009-09-17 359552]
S2 ASMMAP64;ASMMAP64;c:\program files\ATKGFNEX\ASMMAP64.sys [2007-07-24 14904]
S2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-09-29 399432]
S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-09-29 676936]
S2 OberonGameConsoleService;Oberon Media Game Console service;c:\program files (x86)\Asus\Game Park\GameConsole\OberonGameConsoleService.exe [2009-09-15 44312]
S2 rimspci;rimspci;c:\windows\system32\DRIVERSimspe64.sys [2009-07-02 60416]
S2 rixdpcie;rixdpcie;c:\windows\system32\DRIVERSixdpe64.sys [2009-07-05 55808]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-10-01 2314240]
S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program files (x86)\Orange\Antivirus Firewall\Anti-Virus\minifilter\fsgk.sys [2012-11-01 199736]
S3 FSORSPClient;F-Secure ORSP Client;c:\program files (x86)\Orange\Antivirus Firewall\ORSP Client\fsorsp.exe [2011-05-23 61088]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 151936]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20);c:\windows\system32\DRIVERS\L1C62x64.sys [2009-06-29 58368]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-09-29 25928]
S3 NETw1v64;Intel(R) Wireless WiFi Link 1000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\NETw1v64.sys [2009-08-10 7058432]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 15:53	451872	----a-w-	c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2012-11-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-31 19:22]
.
2012-11-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-31 19:22]
.
2012-09-30 c:\windows\Tasks\ReclaimerResumeInstall_JBF.job
- c:\users\JBF\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.20\agentnupgagent.exe [2012-09-29 18:45]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-02 00:52	159744	----a-w-	c:\program files (x86)\ASUS\ASUS Data Security Manager\ShlExt\x64\OverlayIconShlExt1_64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_B]
@="{6D4133E5-0742-4ADC-8A8C-9303440F7190}"
[HKEY_CLASSES_ROOT\CLSID\{6D4133E5-0742-4ADC-8A8C-9303440F7190}]
2009-11-26 05:49	70656	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\AsusWSShellExt_O]
@="{64174815-8D98-4CE6-8646-4C039977D808}"
[HKEY_CLASSES_ROOT\CLSID\{64174815-8D98-4CE6-8646-4C039977D808}]
2009-11-26 05:49	70656	----a-w-	c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSShellExt64.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EeeStorageBackup"="c:\program files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe" [2009-11-26 1732608]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-10-03 16395880]
"SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]
"RunDLLEntry"="c:\windows\system32\AmbRunE.dll" [2009-02-26 17920]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uLocal Page = c:\windows\SysWOW64\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
mSearchAssistant = hxxp://www.google.com/ie
IE: ajouter cette page à vos favoris Orange - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: envoyer le texte sélectionné par sms - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
IE: envoyer par sms - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendsms_html\sendsms.html
IE: envoyer un mail - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendmail_html\sendmail.html
IE: orange.fr - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\orange_html\orange.html
IE: rechercher le texte sélectionné - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
IE: traduire la page - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src	ranslate_html	ranslate.html
IE: traduire le texte sélectionné - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src	ranslateSelectedText_html	ranslateSelectedText.html
IE: _ajouter cette page à vos favoris Orange - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\addfavorites_html\addfavorites.html
IE: _envoyer le texte sélectionné par sms - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendsmsselectedtext_html\sendsmsselectedtext.html
IE: _envoyer par sms - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendsms_html\sendsms.html
IE: _envoyer un mail - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\sendmail_html\sendmail.html
IE: _orange.fr - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\orange_html\orange.html
IE: _rechercher le texte sélectionné - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src\selectedsearch_html\selectedsearch.html
IE: _traduire la page - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src	ranslate_html	ranslate.html
IE: _traduire le texte sélectionné - c:\users\JBF\AppData\Roaming\Orange\OrangeInside\src	ranslateSelectedText_html	ranslateSelectedText.html
LSP: c:\program files (x86)\Orange\Antivirus Firewall\FSPS\program\FSLSP.DLL
Trusted Zone: orange.fr\logicielsgratuits
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\JBF\AppData\Roaming\Mozilla\Firefox\Profiles\pqlw35i7.default-1350814343750\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - ExtSQL: 2012-10-08 17:51; litmus-ff@f-secure.com; c:\program files (x86)\Orange\Antivirus Firewall\NRS\litmus-ff@f-secure.com
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
AddRemove-ASUS_ScreenSaver_GSeries - c:\windows\system32\ASUS_ScreenSaver_GSeries.scr
AddRemove-Close Combat Last Stand Arnhem5.60 - c:\windows\Close Combat Last Stand Arnhem\uninstall.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil64_11_5_502_110_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\Windows\system32\Macromed\Flash\FlashUtil64_11_5_502_110_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_5_502_110_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_5_502_110_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_5_502_110.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.11"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_5_502_110.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_5_502_110.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWOW64\Macromed\Flash\Flash32_11_5_502_110.ocx, 1"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\software\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
Heure de fin: 2012-11-25  14:58:56
ComboFix-quarantined-files.txt  2012-11-25 13:58
ComboFix2.txt  2012-11-24 19:18
.
Avant-CF: 124 697 841 664 octets libres
Après-CF: 124 631 126 016 octets libres
.
- - End Of File - - AB10545EAB7417393250152A4BBD2ADC

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

Enilor · Answer

Voici les rapports
OTL.txt => https://www.cjoint.com/?3Kzp03mLIFQ
Extras.txt => https://www.cjoint.com/?3Kzp2NLC6YY

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
[8 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ] 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"QuickTime Task"=-
"TkBellExe"=-

:Files
 C:\ProgramData\.zreglib     
C:\Windows\SysNative\acovcnt.exe     

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Enilor · Answer

J'ai oublié de désactiver l'antivirus avant de lancer OTL en "correction".
Je ne sais pas si c'était important. Il a travaillé quand même :)
Dis moi s'il faut le relancer ou pas.

Le rapport OTL donne ça =>

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
C:\Windows\system32\REN5850.tmp deleted successfully.
C:\Windows\system32\REN5851.tmp deleted successfully.
C:\Windows\system32\REN5FCD.tmp deleted successfully.
C:\Windows\system32\REN5FDE.tmp deleted successfully.
C:\Windows\system32\REN78DC.tmp deleted successfully.
C:\Windows\system32\REN78DD.tmp deleted successfully.
C:\Windows\system32\REN7AF9.tmp deleted successfully.
C:\Windows\system32\REN7AFA.tmp deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TkBellExe deleted successfully.
========== FILES ==========
C:\ProgramData\.zreglib moved successfully.
C:\Windows\SysNative\acovcnt.exe moved successfully.
========== COMMANDS ==========
Restore point Set: OTL Restore Point
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: JBF
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5088762 bytes
->Java cache emptied: 1131925 bytes
->FireFox cache emptied: 86584567 bytes
->Flash cache emptied: 529 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50674 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 89,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11252012_160656

Files\Folders moved on Reboot...
C:\Users\JBF\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

g3n-h@ckm@n · Answer

ok tu fais un petit topo des soucis restants ??

Enilor · Answer

Le pc a l'air d'avoir retrouvé sa vitesse "normale"...donc pour moi ça semble ok.

g3n-h@ckm@n · Answer

dans ce cas , le menage :

 https://gen-hackman.kanak.fr/

Enilor · Answer

Concernant Java, j'ai une version 6U29 qui ne se désinstalle pas (ni avec JavaRa, ni en désinstallation manuelle), le message est : "Problème détecté dans le package d'installation windows. Un fichier dll requis pour cette installation n'a pas pu être exécuté".

J'ai bien la dernière version de java (7U9) sur mon pc.

Est-ce grave ?

Sinon, voici le rapport Delfix :
# DelFix v6.2 - Rapport créé le 25/11/2012 à 17:40:50
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : JBF - JBF-PC
# Exécuté depuis : C:\Users\JBF\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\_OTL
Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\JBF\Desktop	onton2.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\Pre_Scan.txt
Supprimé : C:\Users\JBF\Desktop\Defogger.exe
Supprimé : C:\Users\JBF\Desktop\defogger_disable.log
Supprimé : C:\Users\JBF\Desktop\defogger_enable.log
Supprimé : C:\Users\JBF\Desktop\Extras.Txt
Supprimé : C:\Users\JBF\Desktop\OTL.Txt
Supprimé : C:\Users\JBF\Desktop\OTL.exe
Supprimé : C:\Users\JBF\Desktop\Pre_Scan.pif
Supprimé : C:\Users\JBF\Desktop\Pre_script.txt
Supprimé : C:\Users\JBF\Desktop\winlogon.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1566 octets] - [25/11/2012 17:40:50]

########## EOF - C:\DelFix[S1].txt - [1690 octets] ##########


Mais il a pas viré la 1ère version de ComboFix installée.

g3n-h@ckm@n · Answer

jette le manuellement

Enilor · Answer

Ok, c'est fait.

Voici, le lien vers le rapport Slowin_Killer => https://www.cjoint.com/?3KzseFtBiON

Est-ce que je dois garder l'outil ?
Si oui, quand faut-il s'en servir ?
Merci

Trojan.Heur.FU.Gqz

29 réponses