Virus cacher dans un dossier Roaming Fermé

Question

Bonjour, 

Je pense que mon ordi est bien infecté, j'ai un programme qui se lance systématiquement depuis un répertoire ... appdatoaming\...

J'ai lancer un rapport Hijackthis mais je n'arrive pas à décripter :-(

Si une bonne âme pouvais m'aider, MERCI d'avance

Configuration: Windows 7 / Firefox 17.0

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:41, on 08/12/2012
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\windows\system32	askhost.exe
C:\windows\system32	askeng.exe
C:\windows\system32\Dwm.exe
C:\windows\Explorer.EXE
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\windows\system32\wuauclt.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\McAfee Security Scan\3.0.285\SSScheduler.exe
C:\Users\Tri Martolod\AppData\Roaming\Microsoft	askmgr.exe
C:\Program Files\SRS Labs\SRS Premium Sound Control Panel\SRSPremiumPanel.exe
C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe
C:\Users\Tri Martolod\crss.exe
C:\Users\Tri Martolod\csrss.exe
C:\windows\system32\svchost.exe
C:\windows\system32\igfxext.exe
C:\windows\system32\igfxsrvc.exe
C:\Users\TRIMAR~1\AppData\Local\Temp\afrujuqvg.exe
C:\windows\system32\conhost.exe
C:\Users\Tri Martolod\AppData\Roaming\muslimtv.exe
C:\Program Files\Samsung\Samsung Recovery Solution 5\WCScheduler.exe
C:\Program Files\Samsung\SamsungFastStart\SmartRestarter.exe
C:\windows\system32\hkcmd.exe
C:\windows\system32\igfxtray.exe
C:\windows\system32\igfxpers.exe
C:\windows\system32	askeng.exe
C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
C:\Program Files\Samsung\Movie Color Enhancer\MovieColorEnhancer.exe
C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe
C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\windows\system32\igfxsrvc.exe
C:\Users\Tri Martolod\Desktop\sécurité\01net_HijackThis.exe
C:\Users\TRIMAR~1\AppData\Local\Temp
suC39D.tmp\ProxyInstaller.exe
C:\Users\TRIMAR~1\AppData\Local\Temp
suC39D.tmp\SecondOffer1.exe
C:\Users\TRIMAR~1\AppData\Local\Temp
su5541.tmp\stub.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Tri Martolod\Desktop\sécurité\HiJackThis.exe
C:\windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://samsung.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d-4103-b537-79a2e58fb2bb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d-4103-b537-79a2e58fb2bb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d-4103-b537-79a2e58fb2bb&affid=111583&searchtype=hp&babsrc=lnkry_nt
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=30de296b-3fb8-11e1-b063-001bb1fc50e4
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d-4103-b537-79a2e58fb2bb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d-4103-b537-79a2e58fb2bb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F3 - REG:win.ini: load=C:\Users\TRIMAR~1\LOCALS~1\Temp\mstarfb.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Linkury SmartbarEngine - {31ad400d-1b06-4e33-a59a-90c2c140cba0} - mscoree.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll
O2 - BHO: IE5BarLauncherBHO Class - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\BarLcher.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
O2 - BHO: Wajam IE BHO - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files\Wajam\IE\priam_bho.dll
O2 - BHO: W2PBrowser Browser Helper - {AA609D72-8482-4076-8991-8CDAE5B93BCB} - C:\Program Files\Samsung AnyWeb Print\W2PBrowser.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll
O3 - Toolbar: VShareToolBar - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll
O3 - Toolbar: Linkury Smartbar - {ae07101b-46d4-4a98-af68-0333ea26e113} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [SpeedUpMyPC] "C:\Program Files\Uniblue\SpeedUpMyPC\launcher.exe" -d 20000 
O4 - HKCU\..\Run: [Profile Manager2] C:\Users\Tri Martolod\crss.exe
O4 - HKCU\..\Run: [Document Explorer2] C:\Users\Tri Martolod\Documents\crss.exe
O4 - HKCU\..\Run: [Download Manager2] C:\Users\Tri Martolod\Downloads\crss.exe
O4 - HKCU\..\Run: [9Y0E6A7B2HVWXFUDFQVTGAAORHSVTZR] C:\config.bin\9A052F91A01.exe /q
O4 - HKCU\..\Run: [name_me] C:\Users\Tri Martolod\My Documents\cmd.exe
O4 - HKCU\..\Run: [8V1A3Y4F2HVWXFUDAN] C:\config.bin\9A052F91A01.exe /q
O4 - HKCU\..\Run: [TaskMgr] C:\Users\Tri Martolod\AppData\Roaming\Microsoft	askmgr.exe
O4 - HKCU\..\Run: [Winsvc] C:\Users\Tri Martolod\AppData\Local\Temp\053c3b94.exe
O4 - HKCU\..\Run: [HKCU] C:\Users\Tri Martolod\AppData\Roaming\WinSrv12\winsrv.exe
O4 - HKCU\..\Run: [Security] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MSDCSC\svhostmsdcsc.exe
O4 - HKCU\..\Run: [Profile Manager3] C:\Users\Tri Martolod\csrss.exe
O4 - HKCU\..\Run: [Document Explorer3] C:\Users\Tri Martolod\Documents\csrss.exe
O4 - HKCU\..\Run: [Download Manager3] C:\Users\Tri Martolod\Downloads\csrss.exe
O4 - HKCU\..\Run: [pdoubrhgfjkxeiqndts] C:\Users\Tri Martolod\AppData\Roaming\pdoubrhgfjkxeiqndts.exe
O4 - HKCU\..\Run: [MuslimTV] C:\Users\Tri Martolod\AppData\Roaming\muslimtv.exe
O4 - HKCU\..\Run: [ZAWIYYVH2HVWXFUDMKAESJBSYGAF] C:\config.bin\9A052F91A01.exe /q
O4 - HKCU\..\Run: [PC Speed Maximizer] C:\Program Files\PC Speed Maximizer\SPMLauncher.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Users\Tri Martolod\AppData\Roaming\C474A6\C474A6.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: A1398478499.exe
O4 - Startup: cmd.exe
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: FreeWifi Manager.lnk = C:\Program Files\FreeWifi Manager\FWM_Start.exe
O4 - Global Startup: McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\3.0.285\SSScheduler.exe
O4 - Global Startup: SRS Premium Sound.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Samsung AnyWeb Print - {328ECD19-C167-40eb-A0C7-16FE7634105E} - C:\Program Files\Samsung AnyWeb Print\W2PBrowser.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix: 
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\3.0.285\McCHSvc.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Samsung UPD Service - Samsung Electronics CO., LTD. - C:\windows\System32\SUPDSvc.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: WajamUpdater - Wajam - C:\Program Files\Wajam\Updater\WajamUpdater.exe

g3n-h@ckm@n · Answer

salut ca pue le ramnit ton histoire !!!!

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

Tonton marc35 · Answer

Salut et encore merci pour ton aide

voici le lien généré:

	https://www.cjoint.com/?0LitNGXd2rQ 

et le deuxième:

	https://www.cjoint.com/?0LitPTSQBdB

g3n-h@ckm@n · Answer

il est pas complet le premier  

et qu'est-ce qu il fout dans le dossier securité je t'ai demandé de le mettre sur le bureau au pire !!!

C:\Users\Tri Martolod\Desktop\sécurité\winlogon.exe 

c'est pas croyable ca d'inventer des dossiers pour les outils !!!!
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Tonton marc35 · Answer

Ok désolé ça devrait être mieux cette fois ci

https://www.cjoint.com/?0Liwuo5jUB1

et

	https://www.cjoint.com/?0Liwwg60zh2

g3n-h@ckm@n · Answer

ok relance l'outil , lance l'option scan|kill et heberge le nouveau rapport et donne le lien 

je crains qu'il n'ait pas pu faire tout son boulot  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Tonton marc35 · Answer

Salut,

ok j'ai relancé l'outil pendant la nuit, en espérant que ça marche...

https://www.cjoint.com/?0Ljnw3lLUhR

et

https://www.cjoint.com/?0Ljnyw9qnIC

Alaric410 · Answer

J'ai eu une saleté de ce genre dont j'ai oublié le nom et qu'aucun antivirus ne détectait . Ce programme se lançait à chaque démarrage et bloquait le PC en deux ou trois secondes; il fallait presser Ctrl Alt Suppr dès l'apparition du bureau et forcer l'arrêt du programme dans le gestionnaire des tâches.

Si vous avez la localisation précise de l'exécutable, vous pouvez essayer ceci:
1) Démarrer avec le compte administrateur.
2) Faire afficher les fichiers et dossiers cachés.
3) Aller jusqu'à l'emplacement du programme perturbateur, mettre l'exécutable à la poubelle, puis les autres fichiers et dossiers qui semblent avoir un lien avec lui.
4) Si Windows argue d'un manque de droits pour le détruire, se déclarer propriétaire du dossier et se donner tous les droits (Clic droit, Propriétés, Sécurité). Éventuellement, faire analyser le dossier par un antivirus.
5) Vider la corbeille, ou mieux, passer CCleaner.
6) Masquer les éléments cachés.

C'est peut-être une solution pour votre problème.

g3n-h@ckm@n · Answer

oué t'as raison passe ccleaner comme ca si le menu demarrer a été deplacé dans les fichiers temporaires par l infection , tu perds tout le menu demarrer

il serait interessant d'étudier ce type d'infections au lieu de balancer n'importe quoi sur le forum

Tonton marc35 · Answer

Re: J'ai pas fais ce que Alaric dit...

Est ce que cette fois winlogon a pu faire tout le taf ?

g3n-h@ckm@n · Answer

oué mais y a une clé qui veut pas sauter

alors on va faire comme ca :

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

Tonton marc35 · Answer

ok merci voici le rapport:



https://www.cjoint.com/?0LjwYWiOi3B

g3n-h@ckm@n · Answer

bon ok y' a encore trop de monde

 Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

==============


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Tonton marc35 · Answer

Salut et Merci

voici le poste généré par ADW cleaner

Je poste le rapport de combofix dans le message suivant

# AdwCleaner v2.100 - Rapport créé le 10/12/2012 à 19:38:20
# Mis à jour le 09/12/2012 par Xplode
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)
# Nom d'utilisateur : Tri Martolod - TRIMARTOLOD-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Tri Martolod\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : WajamUpdater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Viewpoint
Dossier Supprimé : C:\Program Files\vShare.tv plugin
Dossier Supprimé : C:\Program Files\Wajam
Dossier Supprimé : C:\ProgramData\Viewpoint
Dossier Supprimé : C:\Users\Tri Martolod\AppData\Local\Wajam
Dossier Supprimé : C:\Users\Tri Martolod\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam
Dossier Supprimé : C:\Users\Tri Martolod\AppData\Roaming\OpenCandy
Fichier Supprimé : C:\Program Files\Mozilla Firefox\Plugins
pvsharetvplg.dll
Fichier Supprimé : C:\Users\Tri Martolod\AppData\Roaming\Mozilla\Firefox\Profiles\2w91lnzh.default\searchplugins\Startsear.xml
Fichier Supprimé : C:\Users\Tri Martolod\AppData\Roaming\Mozilla\Firefox\Profiles\2w91lnzh.default\searchplugins\Web Search.xml
Fichier Supprimé : C:\Users\Tri Martolod\AppData\Roaming\Mozilla\Firefox\Profiles\2w91lnzh.default\searchplugins\web-search.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKCU\Software\Wajam
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE07101B-46D4-4A98-AF68-0333EA26E113}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncher.1
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\MyNewsBarLauncher.IE5BarLauncherBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{79D60450-56C5-4A8C-9321-6D5BC2A81E5A}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{99C22A61-21BA-4F81-85FF-CDC9EB5DB10B}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3}
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Clé Supprimée : HKLM\Software\MetaStream
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Clé Supprimée : HKLM\Software\Viewpoint
Clé Supprimée : HKLM\Software\Wajam
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{AE07101B-46D4-4A98-AF68-0333EA26E113}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d-4103-b537-79a2e58fb2bb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms} --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - Default_Search_URL] = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d-4103-b537-79a2e58fb2bb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms} --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d-4103-b537-79a2e58fb2bb&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms} --> hxxp://www.google.com

-\ Mozilla Firefox v17.0.1 (fr)

Nom du profil : default 
Fichier : C:\Users\Tri Martolod\AppData\Roaming\Mozilla\Firefox\Profiles\2w91lnzh.default\prefs.js

Supprimée : user_pref("browser.search.defaultengine", "Web Search");
Supprimée : user_pref("browser.search.defaultenginename", "Web Search");
Supprimée : user_pref("browser.search.order.1", "Web Search");
Supprimée : user_pref("keyword.URL", "hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d[...]
Supprimée : user_pref("vshare.install.date", "1315846702");
Supprimée : user_pref("vshare.install.finished", "1.0.0");
Supprimée : user_pref("vshare.install.fresh", "false");
Supprimée : user_pref("vshare.install.guid", "{ac2bc503-7e54-49cf-b592-4d2be745c156}");
Supprimée : user_pref("vshare.install.istoolbarhp", true);
Supprimée : user_pref("vshare.install.istoolbarsearch", true);
Supprimée : user_pref("vshare.install.newtab", false);

-\ Google Chrome v23.0.1271.95

Fichier : C:\Users\Tri Martolod\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.187] : homepage = "hxxp://feed.helperbar.com/?publisher=OC&dpid=OC&co=FR&userid=76a32b4a-889d-4103-b537[...]
Supprimée [l.417] : urls_to_restore_on_startup =,"session": { "restore_on_startup": 4,  [ "hxxp://feed.helperbar.com/?p[...]

*************************

AdwCleaner[S1].txt - [9686 octets] - [10/12/2012 19:38:20]

########## EOF - C:\AdwCleaner[S1].txt - [9746 octets] ##########

Tonton marc35 · Answer

et voici celui de combofix

ComboFix 12-12-10.01 - Tri Martolod 10/12/2012  19:52:10.1.4 - x86
Microsoft Windows 7 Édition Starter   6.1.7601.1.1252.33.1036.18.1013.286 [GMT 1:00]
Lancé depuis: c:\users\Tri Martolod\Desktop\ComboFix.exe
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\$recycle.bin\S-1-5-18\$64b611a911577f116c8eade1feac5b3a\@
c:\$recycle.bin\S-1-5-18\$64b611a911577f116c8eade1feac5b3a

c:\config.bin\9A052F91A01.exe
c:\users\Tri Martolod\crss.exe
c:\users\Tri Martolod\csrss.exe
c:\users\Tri Martolod\Documents\crss.exe
c:\users\Tri Martolod\Documents\csrss.exe
c:\windows\assembly\GAC\Desktop.ini
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-11-10 au 2012-12-10  ))))))))))))))))))))))))))))))))))))
.
.
2012-12-10 17:20 . 2012-12-10 17:20	--------	d-----w-	c:\users\Tri Martolod\AppData\Roaming\wam.04351C371E530C3762CBA45FA283ED972DCDEFB6.1
2012-12-08 21:00 . 2009-07-14 01:14	259072	----a-w-	c:\windows\system32\services.exe
2012-12-08 18:34 . 2012-12-08 18:34	--------	d-----w-	c:\program files\WinSrv12
2012-12-08 18:31 . 2012-12-09 01:40	--------	d---a-r-	C:\Pre_Scan
2012-12-08 18:04 . 2012-12-08 18:04	--------	d-----w-	c:\users\Tri Martolod\AppData\Roaming\PC Speed Maximizer
2012-12-08 18:04 . 2012-12-08 18:04	--------	d-----w-	c:\program files\PC Speed Maximizer
2012-12-08 13:20 . 2012-12-08 13:22	--------	d-----w-	c:\windows\system32\Adobe
2012-12-07 21:05 . 2012-12-07 21:05	--------	d-----w-	c:\windows\system32\%LOCALAPPDATA%
2012-12-07 16:53 . 2012-11-08 18:00	6812136	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{AD394FDE-6325-4518-8CAE-BACD7031FA1B}\mpengine.dll
2012-12-04 17:18 . 2012-12-08 20:22	--------	d-s---r-	c:\users\Tri Martolod\AppData\Roaming\WinSrv12
2012-11-27 18:58 . 2012-11-27 18:58	--------	d-----w-	c:\users\Tri Martolod\AppData\Roaming\Synaptics
2012-11-16 16:34 . 2012-07-26 03:39	526952	----a-w-	c:\windows\system32\drivers\Wdf01000.sys
2012-11-16 16:34 . 2012-07-26 03:39	47720	----a-w-	c:\windows\system32\drivers\WdfLdr.sys
2012-11-16 16:34 . 2012-07-26 02:46	9728	----a-w-	c:\windows\system32\Wdfres.dll
2012-11-16 16:32 . 2012-07-26 02:33	66560	----a-w-	c:\windows\system32\drivers\WUDFPf.sys
2012-11-16 16:32 . 2012-07-26 02:32	155136	----a-w-	c:\windows\system32\drivers\WUDFRd.sys
2012-11-16 16:32 . 2012-07-26 03:20	73216	----a-w-	c:\windows\system32\WUDFSvc.dll
2012-11-16 16:32 . 2012-07-26 03:20	172032	----a-w-	c:\windows\system32\WUDFPlatform.dll
2012-11-16 16:32 . 2012-07-26 03:21	196608	----a-w-	c:\windows\system32\WUDFHost.exe
2012-11-16 16:32 . 2012-07-26 03:20	613888	----a-w-	c:\windows\system32\WUDFx.dll
2012-11-16 16:32 . 2012-07-26 03:20	38912	----a-w-	c:\windows\system32\WUDFCoinstaller.dll
2012-11-15 17:11 . 2012-11-15 17:11	--------	d-----w-	c:\program files\Winamax Poker
2012-11-14 20:02 . 2012-10-03 16:58	1293680	----a-w-	c:\windows\system32\drivers	cpip.sys
2012-11-14 20:02 . 2012-10-03 16:42	52224	----a-w-	c:\windows\system32
laapi.dll
2012-11-14 20:02 . 2012-10-03 16:42	242176	----a-w-	c:\windows\system32
lasvc.dll
2012-11-14 20:02 . 2012-10-03 16:42	175104	----a-w-	c:\windows\system32
etcorehc.dll
2012-11-14 20:02 . 2012-10-03 16:42	156672	----a-w-	c:\windows\system32
csi.dll
2012-11-14 20:02 . 2012-10-03 16:40	499712	----a-w-	c:\windows\system32\iphlpsvc.dll
2012-11-14 20:02 . 2012-10-03 15:21	35328	----a-w-	c:\windows\system32\drivers	cpipreg.sys
2012-11-14 20:02 . 2012-10-03 16:42	18944	----a-w-	c:\windows\system32
etevent.dll
2012-11-14 20:02 . 2012-09-25 22:47	78336	----a-w-	c:\windows\system32\synceng.dll
2012-11-14 20:02 . 2012-10-18 17:59	2345984	----a-w-	c:\windows\system32\win32k.sys
2012-11-14 20:02 . 2012-10-09 17:40	44032	----a-w-	c:\windows\system32\dhcpcsvc6.dll
2012-11-14 20:02 . 2012-10-09 17:40	193536	----a-w-	c:\windows\system32\dhcpcore6.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-07 20:59 . 2012-08-03 16:45	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-12-07 20:59 . 2011-07-03 18:04	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-10-24 18:22 . 2012-10-24 18:22	163056	----a-w-	c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10142.bin
2012-10-16 07:39 . 2012-11-30 20:55	561664	----a-w-	c:\windows\apppatch\AcLayers.dll
2012-09-14 18:28 . 2012-10-10 17:02	2048	----a-w-	c:\windows\system32	zres.dll
2012-12-07 17:41 . 2012-12-07 17:40	262112	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedUpMyPC"="c:\program files\Uniblue\SpeedUpMyPC\launcher.exe" [2012-08-03 406936]
"PC Speed Maximizer"="c:\program files\PC Speed Maximizer\SPMLauncher.exe" [2012-10-30 132480]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-08-04 9398888]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-05-21 1770792]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2011-07-05 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2010-7-21 836896]
FreeWifi Manager.lnk - c:\program files\FreeWifi Manager\FWM_Start.exe [N/A]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\3.0.285\SSScheduler.exe [2012-9-5 271808]
SRS Premium Sound.lnk - c:\windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut4_E9C83B3EDF9141A39DA5EC05C79BBB91.exe [2010-10-29 156952]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\3.0.285\McCHSvc.exe [x]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
R3 Samsung UPD Service;Samsung UPD Service;c:\windows\System32\SUPDSvc.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [x]
S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [x]
S3 btwampfl;Bluetooth AMP USB Filter;c:\windows\system32\drivers\btwampfl.sys [x]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-12-10 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-03 20:59]
.
2012-12-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-05-13 18:52]
.
2012-12-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-05-13 18:52]
.
2012-12-10 c:\windows\Tasks\SpeedUpMyPC.job
- c:\program files\Uniblue\SpeedUpMyPC\spmonitor.exe [2012-09-05 19:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 192.168.1.1 192.168.1.1
FF - ProfilePath - c:\users\Tri Martolod\AppData\Roaming\Mozilla\Firefox\Profiles\2w91lnzh.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.yahoo.com/
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
HKCU-Run-Document Explorer2 - c:\users\Tri Martolod\Documents\crss.exe
HKCU-Run-Download Manager2 - c:\users\Tri Martolod\Downloads\crss.exe
HKCU-Run-9Y0E6A7B2HVWXFUDFQVTGAAORHSVTZR - c:\config.bin\9A052F91A01.exe
HKCU-Run-name_me - c:\users\Tri Martolod\My Documents\cmd.exe
HKCU-Run-8V1A3Y4F2HVWXFUDAN - c:\config.bin\9A052F91A01.exe
HKCU-Run-Document Explorer3 - c:\users\Tri Martolod\Documents\csrss.exe
HKCU-Run-Download Manager3 - c:\users\Tri Martolod\Downloads\csrss.exe
HKCU-Run-ZAWIYYVH2HVWXFUDMKAESJBSYGAF - c:\config.bin\9A052F91A01.exe
HKCU-Run-Profile Manager3 - c:\users\Tri Martolod\csrss.exe
HKCU-Run-Profile Manager2 - c:\users\Tri Martolod\crss.exe
HKLM-Explorer_Run-29862 - c:\progra~2\LOCALS~1\Temp\msskof.com
AddRemove-vShare.tv plugin - c:\program files\vShare.tv plugin\uninst.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\windows\system32\Macromed\Flash\FlashUtil32_11_5_502_110_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\windows\system32\Macromed\Flash\FlashUtil32_11_5_502_110_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(3368)
c:\program files\Samsung\Movie Color Enhancer\WinCRT.dll
c:\program files\WIDCOMM\Bluetooth Software\btmmhook.dll
c:\program files\WIDCOMM\Bluetooth Software\btncopy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WLANExt.exe
c:\windows\system32\conhost.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\system32	askhost.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Bluetooth Software\btwdins.exe
c:\windows\system32\conhost.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Samsung\Easy Display Manager\dmhkcore.exe
c:\windows\servicing\TrustedInstaller.exe
c:\windows\system32\igfxext.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\PC Speed Maximizer\SPMSmartScan.exe
c:\program files\PC Speed Maximizer\SPMReminder.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\SRS Labs\SRS Premium Sound Control Panel\SRSPremiumPanel.exe
c:\program files\WIDCOMM\Bluetooth Software\BtStackServer.exe
c:\program files\Uniblue\SpeedUpMyPC\sump.exe
c:\program files\Samsung\Samsung Recovery Solution 5\WCScheduler.exe
c:\program files\Samsung\SamsungFastStart\SmartRestarter.exe
c:\windows\system32\hkcmd.exe
c:\windows\system32\igfxtray.exe
c:\windows\system32\igfxpers.exe
c:\program files\Samsung\Movie Color Enhancer\MovieColorEnhancer.exe
c:\program files\Samsung\Samsung Support Center\SSCKbdHk.exe
c:\windows\system32\sppsvc.exe
c:\program files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe
c:\program files\Samsung\Samsung Update Plus\SUPBackground.exe
c:\program files\Common Files\Java\Java Update\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2012-12-10  20:15:34 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-12-10 19:15
.
Avant-CF: 37 748 539 392 octets libres
Après-CF: 37 655 068 672 octets libres
.
- - End Of File - - DF5AE71EDBA9C979D90B6709BB2FCEDB

g3n-h@ckm@n · Answer

desinstalle ca :

PC Speed Maximizer 
speedupmyPC

Tonton marc35 · Answer

Ok c'est fait... Merci pour ton aide

Je suppose qu'on a finis ;-)

g3n-h@ckm@n · Answer

non refais OTL y'a encore des trucs a virer

Tonton marc35 · Answer

ok voici les rapports


	https://www.cjoint.com/?0LkxtlURTql  

et

	https://www.cjoint.com/?0Lkxu2j85BC

g3n-h@ckm@n · Answer

re

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-169655221-1176552847-2282512012-1000\..\SearchScopes,DefaultScope = 
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins
pvsharetvplg.dll     
CHR - plugin: MetaStream 3 Plugin (Enabled) = C:\Program Files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll     
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 29862 = C:\PROGRA~2\LOCALS~1\Temp\msskof.com 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7F8FB868-9448-4099-BCB0-9AC1EF5AADB8}: DhcpNameServer = 44.0.0.253 44.0.0.3 44.0.0.4 4.2.2.1 


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"iTunesHelper"=-
"QuickTime Task"=-

:Files
C:\windows\System32\%LOCALAPPDATA%      
C:\Users\Tri Martolod\Documents\Windows 
C:\Program Files\WinSrv12 
C:\Users\Tri Martolod\AppData\Roaming\WinSrv12 
C:\Users\Tri Martolod\AppData\Roaming\1EC474A6
C:\Users\Tri Martolod\AppData\Roaming\C474A6 
C:\windows\system32\Tasks\SmartRestarter 
C:\windows\system32\Tasks\SpeedUpMyPC 

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Tonton marc35 · Answer

Lu

Cool, je me rappel bien de ce dossier

C:\Users\Tri Martolod\AppData\Roaming\C474A6 folder moved successfully.

c'est celui qui entre autre me posait pas mal de soucis

voici le rapport

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-21-169655221-1176552847-2282512012-1000\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
File C:\Program Files\Mozilla Firefox\plugins
pvsharetvplg.dll not found.
File C:\Program Files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\29862 deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7F8FB868-9448-4099-BCB0-9AC1EF5AADB8}\DhcpNameServer| /E : value set successfully!
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task deleted successfully.
========== FILES ==========
C:\windows\System32\%LOCALAPPDATA%\CrashDumps folder moved successfully.
C:\windows\System32\%LOCALAPPDATA% folder moved successfully.
C:\Users\Tri Martolod\Documents\Windows folder moved successfully.
C:\Program Files\WinSrv12 folder moved successfully.
C:\Users\Tri Martolod\AppData\Roaming\WinSrv12 folder moved successfully.
C:\Users\Tri Martolod\AppData\Roaming\1EC474A6 folder moved successfully.
C:\Users\Tri Martolod\AppData\Roaming\C474A6 folder moved successfully.
C:\windows\system32\Tasks\SmartRestarter moved successfully.
C:\windows\system32\Tasks\SpeedUpMyPC moved successfully.
========== COMMANDS ==========
Restore point Set: OTL Restore Point
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 58264 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
User: Tri Martolod
->Temp folder emptied: 293073 bytes
->Temporary Internet Files folder emptied: 935230 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 80069430 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 15247622 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 7032 bytes
RecycleBin emptied: 9959764 bytes
 
Total Files Cleaned = 102.00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 12112012_182817

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Virus cacher dans un dossier Roaming

21 réponses

Discussions similaires