le pc doit être infecté,besoin de confirmer,svpRésolu/Fermé

Question

Bonjour, le pc est très très lent ,les pages se figent ,j'insiste ,ça bip ...Analyse ave  avast RAS. Démarrage et fermeture ok ,c'est sur internet ou même sans que ça ralentit fortement.
J'ai dépoussiéré ,mais  toujours pareil .
J'ATTENDS UNE PRISE EN MAIN,dès que vous pouvez ,merci .
J'ai nettoyé avec ccleaner .



Configuration: AVAST/PARE FEU vista /W.DEFENDER/
CCLEANER
asus P5ND2 SE

intel core 2 duo e4500 / memoire 3 go ddr2/ dd 320 go sata/ video ati radeon 2400 pro 256mo

g3n-h@ckm@n · Answer

salut

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

rob1 · Answer

Merci de ta prise en charge rapide .

# AdwCleaner v2.101 - Rapport créé le 19/12/2012 à 21:52:35
# Mis à jour le 16/12/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : administrateur - PC-DE-ADMINISTR
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\administrateur\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\Users\administrateur\AppData\Local\Ilivid Player

***** [Registre] *****

Clé Supprimée : HKCU\Software\Softonic

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v23.0.1271.97

Fichier : C:\Users\administrateur\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [971 octets] - [19/12/2012 21:52:35]

########## EOF - C:\AdwCleaner[S1].txt - [1030 octets] ##########

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

rob1 · Answer

Bonjour ,je fais tout ceci vers 16H30 ou vers 20H00
A bientôt

pdunet · Answer

tiens nous au courant avant que je fasse la meme chose demain

rob1 · Answer

voici le lien
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | 2.1219 | g3n-h@ckm@n & Saachaa ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

~ ¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤

~ Update on 19/12/2012 | 22.10 by g3n-h@ckm@n
~ Evolution : https://gen-hackman.kanak.fr/
~ Pre_Script Infos : https://gen-hackman.kanak.fr/
~ Pre_scan Feedbacks : https://gen-hackman.kanak.fr/#505

~ [administrateur (Administrator)] - [PC-DE-ADMINISTR]
~ SID = S-1-5-21-2485511208-1383284528-1987079633-1000

~ System : Windows Vista (TM) Home Premium (32 bits) HomePremium Service Pack 2
~ ProcessorNameString : Genuine Intel(R) CPU           T2250  @ 1.73GHz
~ Identifier : x86 Family 6 Model 14 Stepping 8

~ Mémory RAM = Total (KB) : 1045950 | Used (%) : 57 | Free (KB) : 442320
~ Pagefile = Total (KB) : 2356410 | Free (KB) : 1708750
~ Virtual = Total (KB) : 2097020 | Free (KB) : 1990580

¤¤¤¤¤¤¤¤¤¤ | Boot's scripts

C:\Windows\Setup\Scripts\oobe.cmd

¤¤¤¤¤¤¤¤¤¤ | Drives

c:\ -> [Fixed] | [Vista] | Total : 93890 Mo | Free : 30460 Mo -> NTFS

¤¤¤¤¤¤¤¤¤¤ | Windows Updates

Last(s) détection(s) : 2012-12-20 15:30:01
Last(s) download(s) : 2012-12-18 19:17:11
Last(s) installation(s) : 2012-12-18 19:21:15
Next search : 2012-12-21 09:21:31


¤¤¤¤¤¤¤¤¤¤ | Sessions

~ C:\Windows\system32\config\systemprofile
~ C:\Windows\ServiceProfiles\LocalService
~ C:\Windows\ServiceProfiles\NetworkService
~ C:\Users\administrateur
~ C:\Users\LogMeInRemoteUser

New restorepoint created

16:36:18

¤¤¤¤¤¤¤¤¤¤ | stopped Processes

(1404) -- SLsvc.exe
(1936) -- spoolsv.exe
(192) -- taskeng.exe
(668) -- taskeng.exe
(1352) -- explorer.exe
(2404) -- schedul2.exe
(2420) -- MSASCui.exe
(2468) -- TPwrMain.exe
(2540) -- afcdpsrv.exe
(2624) -- CFSvcs.exe
(2792) -- SmoothView.exe
(2820) -- TCrdMain.exe
(2876) -- SynTPEnh.exe
(2972) -- VolControl.exe
(2980) -- FreemakeUtilsService.exe
(2992) -- NDSTray.exe
(3236) -- jusched.exe
(3244) -- SynToshiba.exe
(3260) -- sidebar.exe
(3288) -- TOSCDSPD.exe
(3304) -- wmpnscfg.exe
(3360) -- rundll32.exe
(3556) -- TODDSrv.exe
(3608) -- TosCoSrv.exe
(3668) -- TosBtSrv.exe
(3700) -- ULCDRSvr.exe
(3764) -- SearchIndexer.exe
(3836) -- XAudio.exe
(4044) -- wmpnetwk.exe
(3148) -- CFSwMgr.exe
(2656) -- PresentationFontCache.exe
(4032) -- TrustedInstaller.exe
(632) -- ctfmon.exe
(4184) -- ielowutil.exe
(4832) -- chrome.exe
(5024) -- chrome.exe

¤¤¤¤¤¤¤¤¤¤ | Running processes

Boot : Normal  

[MD5.98AF15A94CD6AC37248E72E5FE789B35] - [31/12/2010 19:37:58] - 556 | C:\Windows\System32\smss.exe (.Microsoft Corporation - Windows Session Manager.) - (6.0.6002.18005) -> \SystemRoot\System32\smss.exe   [64000 Ko]
[MD5.ABCA209EBA02CB59233614DB83B4F50D] - [23/12/2010 20:19:12] - 676 | C:\Windows\system32\csrss.exe (.Microsoft Corporation - Processus d'exécuttion client-serveur.) - (6.0.6001.18000) -> C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16   [6144 Ko]
[MD5.101BA3EA053480BB5D957EF37C06B5ED] - [23/12/2010 20:21:14] - 728 | C:\Windows\system32\wininit.exe (.Microsoft Corporation - Application de démarrage de Windows.) - (6.0.6001.18000) -> wininit.exe   [96768 Ko]
[MD5.ABCA209EBA02CB59233614DB83B4F50D] - [23/12/2010 20:19:12] - 740 | C:\Windows\system32\csrss.exe (.Microsoft Corporation - Processus d'exécuttion client-serveur.) - (6.0.6001.18000) -> C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16   [6144 Ko]
[MD5.17FFE3A6642B5DE7E93DBC21E124FA19] - [31/12/2010 19:39:01] - 776 | C:\Windows\system32\services.exe (.Microsoft Corporation - Applications Services et Contrôleur.) - (6.0.6002.18005) -> C:\Windows\system32\services.exe   [279552 Ko]
[MD5.A3E186B4B935905B829219502557314E] - [20/01/2012 22:27:33] - 800 | C:\Windows\system32\lsass.exe (.Microsoft Corporation - Processus de l'autorité de sécurité locale.) - (6.0.6002.18541) -> C:\Windows\system32\lsass.exe   [9728 Ko]
[MD5.7564348D8F099A4441C1A71875E104B5] - [23/12/2010 20:22:07] - 812 | C:\Windows\system32\lsm.exe (.Microsoft Corporation - Service du gestionnaire de session locale.) - (6.0.6001.18000) -> C:\Windows\system32\lsm.exe   [229888 Ko]
[MD5.7A556AB2E204BF52993C0C56B61064C5] - [31/12/2010 19:38:46] - 856 | C:\Windows\system32\winlogon.exe (.Microsoft Corporation - Application d'ouverture de session Windows.) - (6.0.6002.18005) -> winlogon.exe   [314368 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 992 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k DcomLaunch   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1064 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k rpcss   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1104 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k secsvcs   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1196 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1224 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1260 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k netsvcs   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1384 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k GPSvcGroup   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1452 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k LocalService   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1656 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k NetworkService   [21504 Ko]
[MD5.8FA553E9AE69808D99C164733A0F9590] - [03/09/2011 09:28:38] - 1780 | C:\Program Files\AVAST Software\Avast\AvastSvc.exe (.AVAST Software - avast! Service.) - (7.0.1474.765) -> "C:\Program Files\AVAST Software\Avast\AvastSvc.exe"   [44808 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1980 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork   [21504 Ko]
[MD5.01DD1004181FD46ECDC3628228EB269D] - [31/12/2010 19:38:42] - 640 | C:\Windows\system32\Dwm.exe (.Microsoft Corporation - Gestionnaire de fenêtres du Bureau.) - (6.0.6002.18005) -> "C:\Windows\system32\Dwm.exe"   [81920 Ko]
[MD5.462359B9860EE4E00CA709083E84B048] - [11/12/2006 17:27:12] - 2820 | C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe (.TOSHIBA Corporation - TOSHIBA Flash Cards.) - (1.0.0.7) -> "C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe"    [530552 Ko]
[MD5.2599F74F3555968BCA57777C65B21E37] - [03/09/2011 09:28:38] - 3160 | C:\Program Files\AVAST Software\Avast\AvastUI.exe (.AVAST Software - avast! Antivirus.) - (7.0.1474.765) -> "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui   [4297136 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3444 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3480 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k imgsvc   [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3720 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k WerSvcGroup   [21504 Ko]
[MD5.8274C87726D4561EE8750D883764ACC1] - [31/12/2010 19:37:51] - 2728 | C:\Windows\system32\wbem\unsecapp.exe (.Microsoft Corporation - Sink to receive asynchronous callbacks for WMI client application.) - (6.0.6002.18005) -> C:\Windows\system32\wbem\unsecapp.exe -Embedding   [37888 Ko]
[MD5.9E69F26034694A7FD5F1596A71F60DD1] - [31/12/2010 19:39:12] - 2492 | C:\Windows\system32\wbem\wmiprvse.exe (.Microsoft Corporation - WMI Provider Host.) - (6.0.6002.18005) -> C:\Windows\system32\wbem\wmiprvse.exe   [247296 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3424 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation   [21504 Ko]
[MD5.E6F27C87BDDF1F39CC5A66393BB3ACB1] - [20/12/2012 16:33:10] - 5748 | C:\Users\administrateur\Desktop\winlogon.exe (. - g3n-h@ckm@n.) - (2.1.2.19) -> "C:\Users\administrateur\Desktop\winlogon.exe"    [2475426 Ko]
[MD5.3E3CC13DEDFB26B089B419E8637F4656] - [05/11/2012 16:37:16] - 5848 | C:\Pre_Scan\Process\Pre_Scan_Protect.exe (. - g3n-h@ckm@n.) - (2.1.1.27) -> "C:\Pre_Scan\Process\Pre_Scan_Protect.exe"    [311119 Ko]
[MD5.6080A176D09435FC8E6E800996656E18] - [31/12/2010 19:38:05] - 2132 | C:\Windows\system32\conime.exe (.Microsoft Corporation - Console IME.) - (6.0.6002.18005) -> C:\Windows\system32\conime.exe   [69120 Ko]
[MD5.9E69F26034694A7FD5F1596A71F60DD1] - [31/12/2010 19:39:12] - 2360 | C:\Windows\system32\wbem\wmiprvse.exe (.Microsoft Corporation - WMI Provider Host.) - (6.0.6002.18005) -> C:\Windows\system32\wbem\wmiprvse.exe   [247296 Ko]

¤¤¤¤¤¤¤¤¤¤ | Winlogon User : OK !


¤¤¤¤¤¤¤¤¤¤ | Winlogon Machine

Changed : [HKLM | Winlogon]|[AutoRestartShell] : 1 -> 0
Repaired : [HKLM | Winlogon]|[PowerDownAfterShutdown] : 0 -> 1

¤¤¤¤¤¤¤¤¤¤ | Associations


Repaired : [HKCR\Folder\shell\open\command] : %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L -> C:\Windows\Explorer.exe


¤

Repaired : [HKLM | IExplore.exe\shell\open\command] : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
Repaired : [HKLM | Google Chrome\shell\open\command] : "C:\Program Files\Google\Chrome\Application\chrome.exe" -> "C:\Users\administrateur\AppData\Local\Google\Chrome\Application\Chrome.exe"
Repaired : [Assoc | Applications] | @ : http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s

¤¤¤¤¤¤¤¤¤¤ | Registry


Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{20D04FE0-3AEA-1069-A2D8-08002B30309D}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{59031a47-3f72-44a7-89c5-5595fe6b30ee}] : 1 -> 0
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Microsoft\Windows\CurrentVersion\Explorer\Advanced]|[Hidden] : 1 -> 0
Repaired : [HKU\S-1-5-18 | Microsoft\Windows\CurrentVersion\Policies\Explorer]|[NoDriveTypeAutoRun] : 00000000 -> 145


¤¤¤¤¤¤¤¤¤¤ | SafeBoot | Control | Repair

Safeboot Keys are O.K

Alternate shell is OK !

¤

Repaired : [HKLM | Minimal\SRService] :  -> Service
Repaired : [HKLM | Minimal\sr.sys] :  -> FSFilter System Recovery

¤

Repaired : [HKLM | Networkdpcdd.sys] :  -> Driver

¤¤¤¤¤¤¤¤¤¤ | IFEO : OK !


¤¤¤¤¤¤¤¤¤¤ | Mountpoints2 : OK !



¤¤¤¤¤¤¤¤¤¤ | Windows

Winsrv : OK !

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[AppInit_DLLS] : 
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[LoadAppInit_DLLs] : 0

[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[Programs] : com exe bat pif cmd

¤¤¤¤¤¤¤¤¤¤ | Security Center

[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring]|[DisableMonitoring] : 1

[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]|[DisableMonitoring] : 1
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]|[DisableMonitoring] : 1


¤¤¤¤¤¤¤¤¤¤ | Services Corrections


Repaired : [HKLM | Services\agp440] : 3 -> 2
Repaired : [HKLM | Services\EapHost] : 3 -> 2
Repaired : [HKLM | Services\SharedAccess] : 4 -> 2

¤¤¤¤¤¤¤¤¤¤ | Internet Explorer

Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Internet Explorer\Main]|[Start Page] : https://www.google.com/webhp?hl=fr&gws_rd=ssl -> https://www.google.com/?gws_rd=ssl
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Internet Explorer\Main]|[Search Page] : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Repaired : [HKLM | Internet Explorer\Search]|[SearchAssistant] :  -> http://www.google.com/toolbar/ie8/sidebar.html
Repaired : [HKLM | Internet Explorer\AboutURLs]|[Tabs] :  -> res://ieframe.dll/tabswelcome.htm

¤

Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Internet Explorer\PhishingFilter]|[EnabledV8] : 0 -> 1
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 -> 1

¤¤¤¤¤¤¤¤¤¤ | Hosts

C:\Windows\System32\Drivers\etc\hosts : Replaced 

¤¤¤¤¤¤¤¤¤¤ | Files | Folders | Registry


Impossible to move :  C:\Windows\msdownld.tmp
Impossible to move :  C:\Users\ADMINI~1\AppData\Local\Temp\~DFE115.tmp
Moved to quarantine successfully :  C:\Users\administrateur\AppData\Roaming
vModes.dat
Moved to quarantine successfully :  C:\ProgramData\hsswpr\hssuninst.dat

17:00:56

Moved to quarantine successfully :  C:\Users\administrateur\AppData\Local\d3d9caps.dat
Moved to quarantine successfully :  C:\Windows\System32\config\SystemProfile\AppData\Local\d3d9caps.dat
Impossible to move :  C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
Impossible to move :  C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
Moved to quarantine successfully :  C:\Program Files\Common Files\AVSMedia
Moved to quarantine successfully : |D| - C:\Users\administrateur\AppData\LocalLow\Sun\Java\Deployment\cache\6.0

Prefetch -> Emptied 


¤¤¤¤¤¤¤¤¤¤ | quarantined at reboot

Moved to quarantine successfully at Reboot : C:\Windows\msdownld.tmp
Moved to quarantine successfully at Reboot : C:\Users\ADMINI~1\AppData\Local\Temp\~DFE115.tmp
Not quarantined at Reboot : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
Not quarantined at Reboot : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

¤¤¤¤¤

17:05:01

¤¤¤¤¤¤¤¤¤¤ | Listing Partition(s)

 Disk: 0   Size= 95G
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    0    27-UNKNWN  1.5G   No    No         2,048    3,072,000
  1    1    07-NTFS     94G   Yes   No     3,074,048  192,294,912

¤¤¤¤¤¤¤¤¤¤ | MBR Control

MBR code signature : B2 CE 84 C0


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: TOSHIBA_MK1032GSX rev.AS022M -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS intelide.sys 
1 nt!IofCallDriver[8288014B] -> \Device\Harddisk0\DR0[856D0378]
3 CLASSPNP[8728F8B3] -> nt!IofCallDriver[8288014B] -> [84C088F8]
5 acpi[86A4F6BC] -> nt!IofCallDriver[8288014B] -> \Device\Ide\IdeDeviceP0T0L0-0[84BFEB98]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 7c00; MOV ES, AX; MOV DS, AX; MOV SI, 7c00; MOV DI, 600; MOV CX, 200; CLD ; REP MOVSB ; PUSH AX; PUSH 61c; RETF ; STI ; MOV CX, 4; MOV BP, 7be; CMP BYTE [BP+0], 0;  }
user & kernel MBR OK 

¤¤¤¤¤¤¤¤¤¤ | Hidden files

~ [Program Files] : Hidden : 2 | Restored : 2
~ [Users] : Hidden : 2 | Restored : 2
~ [Documents] : Hidden : 3 | Restored : 3
~ [Searches] : Hidden : 2 | Restored : 2
~ [Windows] : Hidden : 84 | Restored : 84
~ [Start Menu | Programs | Startup] : Hidden : 1 | Restored : 1
~ [AppData] : Hidden : 17 | Restored : 17

¤¤¤¤¤¤¤¤¤¤

[HKLM | Winlogon] | AutoRestartShell : 0 -> 1


End : 17:15:09

Pre_Scan_Protect.exe Stopped successfully !


~ Thx to C_XX , Slyk for their help for the evolution of the tool

¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤ - 304

rob1 · Answer

mince ,j'ai fait copier le lien et ensuite j'ai collé dans la réponse et tout c'est affiché ,ça n'était pas le but je crois .
JE VAIS REFAIRE un copier / coller à la souris 


https://www.cjoint.com/?BLutvHzEc9J 

après avoir mieux lu ,cause pas fait avec IE 

https://www.cjoint.com/?BLutvHzEc9J

CE dernier devrait être le bon .

Ca a mis le bazar sur mon burau ,je me retrouve avec des icônes réseau ;systeme ect...   une fenêtre de toshiba s'affiche ,concernant flashcard ???

JE TOUCHE plus à rien ,j'attends tes infos .

g3n-h@ckm@n · Answer

les icones en plus tu peux les virer c'est au cas où l'infection te vire l'accès pas le menu demarrer et que l'outil n'arrive pas à regler ce probleme via le registre

relance l'outil , clique sur Diag et herberge le rapport pre_diag puis donne le lien

rob1 · Answer

ET voilà le second lien 
https://www.cjoint.com/?BLutJH2fflL

bon courage et merci

rob1 · Answer

nouvelle fenêtre 
toshiba online product information 
log à configurer 

j'ose pas faire "suivanr" 

J'attends tes consignes ...

rob1 · Answer

Ok,tu peux y aller dès que tu auras terminé le déchiffrage .

g3n-h@ckm@n · Answer

c'est pas le bon rapport que tu as hebergé

rob1 · Answer

JE COMPRENDS PAS ?je le refais

https://www.cjoint.com/?BLuvbG6IGS9



https://www.cjoint.com/?BLuvfvbIora

g3n-h@ckm@n · Answer

je répète :

relance l'outil , clique sur Diag et herberge le rapport pre_diag puis donne le lien

rob1 · Answer

je dois relancer winlogon.exe pour

relance l'outil , clique sur Diag et herberge le rapport pre_diag puis donne le lien

g3n-h@ckm@n · Answer

ben oui !!

rob1 · Answer

désolé mais ce log me fait peur , 

https://www.cjoint.com/?BLuv6Mjy3zO

g3n-h@ckm@n · Answer

y'a vraiment pas de quoi !!!

j'étudie ca.... ^^

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

rob1 · Answer

voici
Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.12.20.10

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
administrateur :: PC-DE-ADMINISTR [administrateur]

Protection: Activé

20/12/2012 22:31:05
mbam-log-2012-12-20 (22-31-05).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 317335
Temps écoulé: 1 heure(s), 9 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\administrateur\Pictures\W7\Crack\Windows 7 Loader v1.7.9\Windows 7 Loader.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\administrateur\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
C:\Users\administrateur\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin

ensuite
2012/12/20 22:28:44 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Starting protection
2012/12/20 22:28:44 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Protection started successfully
2012/12/20 22:28:44 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Starting IP protection
2012/12/20 22:28:57 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	IP Protection started successfully
2012/12/20 22:29:00 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Starting database refresh
2012/12/20 22:29:00 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Stopping IP protection
2012/12/20 22:29:01 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	IP Protection stopped successfully
2012/12/20 22:29:05 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Database refreshed successfully
2012/12/20 22:29:05 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Starting IP protection
2012/12/20 22:29:10 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	IP Protection started successfully
2012/12/20 22:39:53 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Executing scheduled update:  Daily
2012/12/20 22:39:55 +0100	PC-DE-ADMINISTR	administrateur	ERROR	Scheduled update failed:  Host not found failed with error code 0

et le dernier

2012/12/21 00:05:41 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Starting protection
2012/12/21 00:05:41 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Protection started successfully
2012/12/21 00:05:41 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	Starting IP protection
2012/12/21 00:05:45 +0100	PC-DE-ADMINISTR	administrateur	MESSAGE	IP Protection started successfully

là je vais me coucher ,merci et à demain

g3n-h@ckm@n · Answer

je comprends pourquoi tu mets tes trucs dans le dossier images

C:\Users\administrateur\Pictures\W7\Crack\Windows 7 Loader v1.7.9\Windows 7 Loader.exe

ah bravo !!!! 

================== 
 
tu peux faire le menage

https://gen-hackman.kanak.fr/

rob1 · Answer

bonjour,je regarde pour faire le ménage ,je te te tiens au courant.

rob1 · Answer

VOICI LE RAPPORT delfix

# DelFix v6.2 - Rapport créé le 21/12/2012 à 09:53:06
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : administrateur - PC-DE-ADMINISTR
# Exécuté depuis : C:\Users\administrateur\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Pre_Diag_20_12_2012_21_34_49.txt
Supprimé : C:\Pre_Scan_20_12_2012_16_36_18.txt
Supprimé : C:\Users\administrateur\Desktop\adwcleaner.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [785 octets] - [21/12/2012 09:53:06]

########## EOF - C:\DelFix[S1].txt - [908 octets] ##########


Puis je l'ai désinstallé ,je continue la procédure 
je peux supprimer les icônes qui ce sont mis sur le bureau :réseau ;panneau config ;administrateur,... ?

rob1 · Answer

nouveau rapport

https://www.cjoint.com/?BLvktG2exWx

rob1 · Answer

la ligne du rapport purera

Total space cleaned: 6.44 MB

je continue...

g3n-h@ckm@n · Answer

re

je peux supprimer les icônes qui ce sont mis sur le bureau :réseau ;panneau config ;administrateur,... ?

s'ils te sont inutiles oui

 les resultats : vu

je continue...
 
ok

rob1 · Answer

Bonsoir ,j'ai tout terminé ,le point de restauration "sain" est fait .
J'ai enlevé les icône inutiles . Ils restent Slowin killer et purera ,ça se désinstalle où ?LE PREMIER est dans "ajout suppression programmes" il faut le désinstaller ?et pour le second ,je fais comment,stp ?

g3n-h@ckm@n · Answer

le premier ou , et le second : clic droit => supprimer ^^

rob1 · Answer

J'ai windows defender qui s'affiche , echec de l'initialisation d'application 0850160ba ;arrêt du service 

Peut être pas utile de le remettre ,vu que j'ai maintenant malwarbytes .Par contre comment empêcher cette fenêtre de s'afficher à chaque fois ?
à cuse de ça ,j'ai une croix rouge en bas à droite (alerte de securite windows)

g3n-h@ckm@n · Answer

il est pas bon ton code d'erreur tu t'es trompé

rob1 · Answer

je l'ai mal écrit ,ca doit être 0x800160ba ou 0x850160ba

rob1 · Answer

oui ,excuse 
ça doit être un des 2 logs qui servait à optimiser le demarrage de windows ,je crois .Le  service de demarrage de Wdefender est sans doute stoppé ...

rob1 · Answer

Pour WDEFENDER ,c'est fait 
J'ai encore le contrôle des comptes utilisateurs désactivé ,je le réactive aussi ?

g3n-h@ckm@n · Answer

c'est indiqué dans le menage final

rob1 · Answer

Vu ,rien ne t'échappe .
Je vais noté "résolu" 

Un GRAND MERCI à toi.

Le pc doit être infecté,besoin de confirmer,svp

35 réponses

Newsletters