Le pc doit être infecté,besoin de confirmer,svp
Résolu
rob1
Messages postés
189
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour, le pc est très très lent ,les pages se figent ,j'insiste ,ça bip ...Analyse ave avast RAS. Démarrage et fermeture ok ,c'est sur internet ou même sans que ça ralentit fortement.
J'ai dépoussiéré ,mais toujours pareil .
J'ATTENDS UNE PRISE EN MAIN,dès que vous pouvez ,merci .
J'ai nettoyé avec ccleaner .
J'ai dépoussiéré ,mais toujours pareil .
J'ATTENDS UNE PRISE EN MAIN,dès que vous pouvez ,merci .
J'ai nettoyé avec ccleaner .
A voir également:
- Sink to receive asynchronous callbacks for wmi client application
- Reinitialiser pc - Guide
- Pc lent - Guide
- Test performance pc - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
35 réponses
je comprends pourquoi tu mets tes trucs dans le dossier images
C:\Users\administrateur\Pictures\W7\Crack\Windows 7 Loader v1.7.9\Windows 7 Loader.exe
ah bravo !!!!
==================
tu peux faire le menage
https://gen-hackman.kanak.fr/
C:\Users\administrateur\Pictures\W7\Crack\Windows 7 Loader v1.7.9\Windows 7 Loader.exe
ah bravo !!!!
==================
tu peux faire le menage
https://gen-hackman.kanak.fr/
salut
Télécharge et enregistre ADWCleaner sur ton bureau :
Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")
clique sur suppression et poste C:\Adwcleaner[Sx].txt
Télécharge et enregistre ADWCleaner sur ton bureau :
Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")
clique sur suppression et poste C:\Adwcleaner[Sx].txt
Merci de ta prise en charge rapide .
# AdwCleaner v2.101 - Rapport créé le 19/12/2012 à 21:52:35
# Mis à jour le 16/12/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : administrateur - PC-DE-ADMINISTR
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\administrateur\Desktop\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\Users\administrateur\AppData\Local\Ilivid Player
***** [Registre] *****
Clé Supprimée : HKCU\Software\Softonic
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16457
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Google Chrome v23.0.1271.97
Fichier : C:\Users\administrateur\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [971 octets] - [19/12/2012 21:52:35]
########## EOF - C:\AdwCleaner[S1].txt - [1030 octets] ##########
# AdwCleaner v2.101 - Rapport créé le 19/12/2012 à 21:52:35
# Mis à jour le 16/12/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : administrateur - PC-DE-ADMINISTR
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\administrateur\Desktop\adwcleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\Users\administrateur\AppData\Local\Ilivid Player
***** [Registre] *****
Clé Supprimée : HKCU\Software\Softonic
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16457
[OK] Le registre ne contient aucune entrée illégitime.
-\\ Google Chrome v23.0.1271.97
Fichier : C:\Users\administrateur\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] Le fichier ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [971 octets] - [19/12/2012 21:52:35]
########## EOF - C:\AdwCleaner[S1].txt - [1030 octets] ##########
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voici le lien
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | 2.1219 | g3n-h@ckm@n & Saachaa ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
~ ¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤
~ Update on 19/12/2012 | 22.10 by g3n-h@ckm@n
~ Evolution : https://gen-hackman.kanak.fr/
~ Pre_Script Infos : https://gen-hackman.kanak.fr/
~ Pre_scan Feedbacks : https://gen-hackman.kanak.fr/#505
~ [administrateur (Administrator)] - [PC-DE-ADMINISTR]
~ SID = S-1-5-21-2485511208-1383284528-1987079633-1000
~ System : Windows Vista (TM) Home Premium (32 bits) HomePremium Service Pack 2
~ ProcessorNameString : Genuine Intel(R) CPU T2250 @ 1.73GHz
~ Identifier : x86 Family 6 Model 14 Stepping 8
~ Mémory RAM = Total (KB) : 1045950 | Used (%) : 57 | Free (KB) : 442320
~ Pagefile = Total (KB) : 2356410 | Free (KB) : 1708750
~ Virtual = Total (KB) : 2097020 | Free (KB) : 1990580
¤¤¤¤¤¤¤¤¤¤ | Boot's scripts
C:\Windows\Setup\Scripts\oobe.cmd
¤¤¤¤¤¤¤¤¤¤ | Drives
c:\ -> [Fixed] | [Vista] | Total : 93890 Mo | Free : 30460 Mo -> NTFS
¤¤¤¤¤¤¤¤¤¤ | Windows Updates
Last(s) détection(s) : 2012-12-20 15:30:01
Last(s) download(s) : 2012-12-18 19:17:11
Last(s) installation(s) : 2012-12-18 19:21:15
Next search : 2012-12-21 09:21:31
¤¤¤¤¤¤¤¤¤¤ | Sessions
~ C:\Windows\system32\config\systemprofile
~ C:\Windows\ServiceProfiles\LocalService
~ C:\Windows\ServiceProfiles\NetworkService
~ C:\Users\administrateur
~ C:\Users\LogMeInRemoteUser
New restorepoint created
16:36:18
¤¤¤¤¤¤¤¤¤¤ | stopped Processes
(1404) -- SLsvc.exe
(1936) -- spoolsv.exe
(192) -- taskeng.exe
(668) -- taskeng.exe
(1352) -- explorer.exe
(2404) -- schedul2.exe
(2420) -- MSASCui.exe
(2468) -- TPwrMain.exe
(2540) -- afcdpsrv.exe
(2624) -- CFSvcs.exe
(2792) -- SmoothView.exe
(2820) -- TCrdMain.exe
(2876) -- SynTPEnh.exe
(2972) -- VolControl.exe
(2980) -- FreemakeUtilsService.exe
(2992) -- NDSTray.exe
(3236) -- jusched.exe
(3244) -- SynToshiba.exe
(3260) -- sidebar.exe
(3288) -- TOSCDSPD.exe
(3304) -- wmpnscfg.exe
(3360) -- rundll32.exe
(3556) -- TODDSrv.exe
(3608) -- TosCoSrv.exe
(3668) -- TosBtSrv.exe
(3700) -- ULCDRSvr.exe
(3764) -- SearchIndexer.exe
(3836) -- XAudio.exe
(4044) -- wmpnetwk.exe
(3148) -- CFSwMgr.exe
(2656) -- PresentationFontCache.exe
(4032) -- TrustedInstaller.exe
(632) -- ctfmon.exe
(4184) -- ielowutil.exe
(4832) -- chrome.exe
(5024) -- chrome.exe
¤¤¤¤¤¤¤¤¤¤ | Running processes
Boot : Normal
[MD5.98AF15A94CD6AC37248E72E5FE789B35] - [31/12/2010 19:37:58] - 556 | C:\Windows\System32\smss.exe (.Microsoft Corporation - Windows Session Manager.) - (6.0.6002.18005) -> \SystemRoot\System32\smss.exe [64000 Ko]
[MD5.ABCA209EBA02CB59233614DB83B4F50D] - [23/12/2010 20:19:12] - 676 | C:\Windows\system32\csrss.exe (.Microsoft Corporation - Processus d'exécuttion client-serveur.) - (6.0.6001.18000) -> C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 [6144 Ko]
[MD5.101BA3EA053480BB5D957EF37C06B5ED] - [23/12/2010 20:21:14] - 728 | C:\Windows\system32\wininit.exe (.Microsoft Corporation - Application de démarrage de Windows.) - (6.0.6001.18000) -> wininit.exe [96768 Ko]
[MD5.ABCA209EBA02CB59233614DB83B4F50D] - [23/12/2010 20:19:12] - 740 | C:\Windows\system32\csrss.exe (.Microsoft Corporation - Processus d'exécuttion client-serveur.) - (6.0.6001.18000) -> C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 [6144 Ko]
[MD5.17FFE3A6642B5DE7E93DBC21E124FA19] - [31/12/2010 19:39:01] - 776 | C:\Windows\system32\services.exe (.Microsoft Corporation - Applications Services et Contrôleur.) - (6.0.6002.18005) -> C:\Windows\system32\services.exe [279552 Ko]
[MD5.A3E186B4B935905B829219502557314E] - [20/01/2012 22:27:33] - 800 | C:\Windows\system32\lsass.exe (.Microsoft Corporation - Processus de l'autorité de sécurité locale.) - (6.0.6002.18541) -> C:\Windows\system32\lsass.exe [9728 Ko]
[MD5.7564348D8F099A4441C1A71875E104B5] - [23/12/2010 20:22:07] - 812 | C:\Windows\system32\lsm.exe (.Microsoft Corporation - Service du gestionnaire de session locale.) - (6.0.6001.18000) -> C:\Windows\system32\lsm.exe [229888 Ko]
[MD5.7A556AB2E204BF52993C0C56B61064C5] - [31/12/2010 19:38:46] - 856 | C:\Windows\system32\winlogon.exe (.Microsoft Corporation - Application d'ouverture de session Windows.) - (6.0.6002.18005) -> winlogon.exe [314368 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 992 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k DcomLaunch [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1064 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k rpcss [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1104 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k secsvcs [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1196 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1224 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1260 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k netsvcs [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1384 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k GPSvcGroup [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1452 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k LocalService [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1656 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k NetworkService [21504 Ko]
[MD5.8FA553E9AE69808D99C164733A0F9590] - [03/09/2011 09:28:38] - 1780 | C:\Program Files\AVAST Software\Avast\AvastSvc.exe (.AVAST Software - avast! Service.) - (7.0.1474.765) -> "C:\Program Files\AVAST Software\Avast\AvastSvc.exe" [44808 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1980 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork [21504 Ko]
[MD5.01DD1004181FD46ECDC3628228EB269D] - [31/12/2010 19:38:42] - 640 | C:\Windows\system32\Dwm.exe (.Microsoft Corporation - Gestionnaire de fenêtres du Bureau.) - (6.0.6002.18005) -> "C:\Windows\system32\Dwm.exe" [81920 Ko]
[MD5.462359B9860EE4E00CA709083E84B048] - [11/12/2006 17:27:12] - 2820 | C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe (.TOSHIBA Corporation - TOSHIBA Flash Cards.) - (1.0.0.7) -> "C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [530552 Ko]
[MD5.2599F74F3555968BCA57777C65B21E37] - [03/09/2011 09:28:38] - 3160 | C:\Program Files\AVAST Software\Avast\AvastUI.exe (.AVAST Software - avast! Antivirus.) - (7.0.1474.765) -> "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui [4297136 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3444 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3480 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k imgsvc [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3720 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k WerSvcGroup [21504 Ko]
[MD5.8274C87726D4561EE8750D883764ACC1] - [31/12/2010 19:37:51] - 2728 | C:\Windows\system32\wbem\unsecapp.exe (.Microsoft Corporation - Sink to receive asynchronous callbacks for WMI client application.) - (6.0.6002.18005) -> C:\Windows\system32\wbem\unsecapp.exe -Embedding [37888 Ko]
[MD5.9E69F26034694A7FD5F1596A71F60DD1] - [31/12/2010 19:39:12] - 2492 | C:\Windows\system32\wbem\wmiprvse.exe (.Microsoft Corporation - WMI Provider Host.) - (6.0.6002.18005) -> C:\Windows\system32\wbem\wmiprvse.exe [247296 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3424 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21504 Ko]
[MD5.E6F27C87BDDF1F39CC5A66393BB3ACB1] - [20/12/2012 16:33:10] - 5748 | C:\Users\administrateur\Desktop\winlogon.exe (. - g3n-h@ckm@n.) - (2.1.2.19) -> "C:\Users\administrateur\Desktop\winlogon.exe" [2475426 Ko]
[MD5.3E3CC13DEDFB26B089B419E8637F4656] - [05/11/2012 16:37:16] - 5848 | C:\Pre_Scan\Process\Pre_Scan_Protect.exe (. - g3n-h@ckm@n.) - (2.1.1.27) -> "C:\Pre_Scan\Process\Pre_Scan_Protect.exe" [311119 Ko]
[MD5.6080A176D09435FC8E6E800996656E18] - [31/12/2010 19:38:05] - 2132 | C:\Windows\system32\conime.exe (.Microsoft Corporation - Console IME.) - (6.0.6002.18005) -> C:\Windows\system32\conime.exe [69120 Ko]
[MD5.9E69F26034694A7FD5F1596A71F60DD1] - [31/12/2010 19:39:12] - 2360 | C:\Windows\system32\wbem\wmiprvse.exe (.Microsoft Corporation - WMI Provider Host.) - (6.0.6002.18005) -> C:\Windows\system32\wbem\wmiprvse.exe [247296 Ko]
¤¤¤¤¤¤¤¤¤¤ | Winlogon User : OK !
¤¤¤¤¤¤¤¤¤¤ | Winlogon Machine
Changed : [HKLM | Winlogon]|[AutoRestartShell] : 1 -> 0
Repaired : [HKLM | Winlogon]|[PowerDownAfterShutdown] : 0 -> 1
¤¤¤¤¤¤¤¤¤¤ | Associations
Repaired : [HKCR\Folder\shell\open\command] : %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L -> C:\Windows\Explorer.exe
¤
Repaired : [HKLM | IExplore.exe\shell\open\command] : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
Repaired : [HKLM | Google Chrome\shell\open\command] : "C:\Program Files\Google\Chrome\Application\chrome.exe" -> "C:\Users\administrateur\AppData\Local\Google\Chrome\Application\Chrome.exe"
Repaired : [Assoc | Applications] | @ : http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s
¤¤¤¤¤¤¤¤¤¤ | Registry
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{20D04FE0-3AEA-1069-A2D8-08002B30309D}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{59031a47-3f72-44a7-89c5-5595fe6b30ee}] : 1 -> 0
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Microsoft\Windows\CurrentVersion\Explorer\Advanced]|[Hidden] : 1 -> 0
Repaired : [HKU\S-1-5-18 | Microsoft\Windows\CurrentVersion\Policies\Explorer]|[NoDriveTypeAutoRun] : 00000000 -> 145
¤¤¤¤¤¤¤¤¤¤ | SafeBoot | Control | Repair
Safeboot Keys are O.K
Alternate shell is OK !
¤
Repaired : [HKLM | Minimal\SRService] : -> Service
Repaired : [HKLM | Minimal\sr.sys] : -> FSFilter System Recovery
¤
Repaired : [HKLM | Network\rdpcdd.sys] : -> Driver
¤¤¤¤¤¤¤¤¤¤ | IFEO : OK !
¤¤¤¤¤¤¤¤¤¤ | Mountpoints2 : OK !
¤¤¤¤¤¤¤¤¤¤ | Windows
Winsrv : OK !
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[AppInit_DLLS] :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[LoadAppInit_DLLs] : 0
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[Programs] : com exe bat pif cmd
¤¤¤¤¤¤¤¤¤¤ | Security Center
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring]|[DisableMonitoring] : 1
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]|[DisableMonitoring] : 1
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]|[DisableMonitoring] : 1
¤¤¤¤¤¤¤¤¤¤ | Services Corrections
Repaired : [HKLM | Services\agp440] : 3 -> 2
Repaired : [HKLM | Services\EapHost] : 3 -> 2
Repaired : [HKLM | Services\SharedAccess] : 4 -> 2
¤¤¤¤¤¤¤¤¤¤ | Internet Explorer
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Internet Explorer\Main]|[Start Page] : https://www.google.com/webhp?hl=fr&gws_rd=ssl -> https://www.google.com/?gws_rd=ssl
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Internet Explorer\Main]|[Search Page] : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Repaired : [HKLM | Internet Explorer\Search]|[SearchAssistant] : -> http://www.google.com/toolbar/ie8/sidebar.html
Repaired : [HKLM | Internet Explorer\AboutURLs]|[Tabs] : -> res://ieframe.dll/tabswelcome.htm
¤
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Internet Explorer\PhishingFilter]|[EnabledV8] : 0 -> 1
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 -> 1
¤¤¤¤¤¤¤¤¤¤ | Hosts
C:\Windows\System32\Drivers\etc\hosts : Replaced
¤¤¤¤¤¤¤¤¤¤ | Files | Folders | Registry
Impossible to move : C:\Windows\msdownld.tmp
Impossible to move : C:\Users\ADMINI~1\AppData\Local\Temp\~DFE115.tmp
Moved to quarantine successfully : C:\Users\administrateur\AppData\Roaming\nvModes.dat
Moved to quarantine successfully : C:\ProgramData\hsswpr\hssuninst.dat
17:00:56
Moved to quarantine successfully : C:\Users\administrateur\AppData\Local\d3d9caps.dat
Moved to quarantine successfully : C:\Windows\System32\config\SystemProfile\AppData\Local\d3d9caps.dat
Impossible to move : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
Impossible to move : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
Moved to quarantine successfully : C:\Program Files\Common Files\AVSMedia
Moved to quarantine successfully : |D| - C:\Users\administrateur\AppData\LocalLow\Sun\Java\Deployment\cache\6.0
Prefetch -> Emptied
¤¤¤¤¤¤¤¤¤¤ | quarantined at reboot
Moved to quarantine successfully at Reboot : C:\Windows\msdownld.tmp
Moved to quarantine successfully at Reboot : C:\Users\ADMINI~1\AppData\Local\Temp\~DFE115.tmp
Not quarantined at Reboot : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
Not quarantined at Reboot : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
¤¤¤¤¤
17:05:01
¤¤¤¤¤¤¤¤¤¤ | Listing Partition(s)
Disk: 0 Size= 95G
Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
--- ------ ---------- ---- ------ ---- ------------ ------------
0 0 27-UNKNWN 1.5G No No 2,048 3,072,000
1 1 07-NTFS 94G Yes No 3,074,048 192,294,912
¤¤¤¤¤¤¤¤¤¤ | MBR Control
MBR code signature : B2 CE 84 C0
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: TOSHIBA_MK1032GSX rev.AS022M -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS intelide.sys
1 nt!IofCallDriver[8288014B] -> \Device\Harddisk0\DR0[856D0378]
3 CLASSPNP[8728F8B3] -> nt!IofCallDriver[8288014B] -> [84C088F8]
5 acpi[86A4F6BC] -> nt!IofCallDriver[8288014B] -> \Device\Ide\IdeDeviceP0T0L0-0[84BFEB98]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 7c00; MOV ES, AX; MOV DS, AX; MOV SI, 7c00; MOV DI, 600; MOV CX, 200; CLD ; REP MOVSB ; PUSH AX; PUSH 61c; RETF ; STI ; MOV CX, 4; MOV BP, 7be; CMP BYTE [BP+0], 0; }
user & kernel MBR OK
¤¤¤¤¤¤¤¤¤¤ | Hidden files
~ [Program Files] : Hidden : 2 | Restored : 2
~ [Users] : Hidden : 2 | Restored : 2
~ [Documents] : Hidden : 3 | Restored : 3
~ [Searches] : Hidden : 2 | Restored : 2
~ [Windows] : Hidden : 84 | Restored : 84
~ [Start Menu | Programs | Startup] : Hidden : 1 | Restored : 1
~ [AppData] : Hidden : 17 | Restored : 17
¤¤¤¤¤¤¤¤¤¤
[HKLM | Winlogon] | AutoRestartShell : 0 -> 1
End : 17:15:09
Pre_Scan_Protect.exe Stopped successfully !
~ Thx to C_XX , Slyk for their help for the evolution of the tool
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤ - 304
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | 2.1219 | g3n-h@ckm@n & Saachaa ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
~ ¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤
~ Update on 19/12/2012 | 22.10 by g3n-h@ckm@n
~ Evolution : https://gen-hackman.kanak.fr/
~ Pre_Script Infos : https://gen-hackman.kanak.fr/
~ Pre_scan Feedbacks : https://gen-hackman.kanak.fr/#505
~ [administrateur (Administrator)] - [PC-DE-ADMINISTR]
~ SID = S-1-5-21-2485511208-1383284528-1987079633-1000
~ System : Windows Vista (TM) Home Premium (32 bits) HomePremium Service Pack 2
~ ProcessorNameString : Genuine Intel(R) CPU T2250 @ 1.73GHz
~ Identifier : x86 Family 6 Model 14 Stepping 8
~ Mémory RAM = Total (KB) : 1045950 | Used (%) : 57 | Free (KB) : 442320
~ Pagefile = Total (KB) : 2356410 | Free (KB) : 1708750
~ Virtual = Total (KB) : 2097020 | Free (KB) : 1990580
¤¤¤¤¤¤¤¤¤¤ | Boot's scripts
C:\Windows\Setup\Scripts\oobe.cmd
¤¤¤¤¤¤¤¤¤¤ | Drives
c:\ -> [Fixed] | [Vista] | Total : 93890 Mo | Free : 30460 Mo -> NTFS
¤¤¤¤¤¤¤¤¤¤ | Windows Updates
Last(s) détection(s) : 2012-12-20 15:30:01
Last(s) download(s) : 2012-12-18 19:17:11
Last(s) installation(s) : 2012-12-18 19:21:15
Next search : 2012-12-21 09:21:31
¤¤¤¤¤¤¤¤¤¤ | Sessions
~ C:\Windows\system32\config\systemprofile
~ C:\Windows\ServiceProfiles\LocalService
~ C:\Windows\ServiceProfiles\NetworkService
~ C:\Users\administrateur
~ C:\Users\LogMeInRemoteUser
New restorepoint created
16:36:18
¤¤¤¤¤¤¤¤¤¤ | stopped Processes
(1404) -- SLsvc.exe
(1936) -- spoolsv.exe
(192) -- taskeng.exe
(668) -- taskeng.exe
(1352) -- explorer.exe
(2404) -- schedul2.exe
(2420) -- MSASCui.exe
(2468) -- TPwrMain.exe
(2540) -- afcdpsrv.exe
(2624) -- CFSvcs.exe
(2792) -- SmoothView.exe
(2820) -- TCrdMain.exe
(2876) -- SynTPEnh.exe
(2972) -- VolControl.exe
(2980) -- FreemakeUtilsService.exe
(2992) -- NDSTray.exe
(3236) -- jusched.exe
(3244) -- SynToshiba.exe
(3260) -- sidebar.exe
(3288) -- TOSCDSPD.exe
(3304) -- wmpnscfg.exe
(3360) -- rundll32.exe
(3556) -- TODDSrv.exe
(3608) -- TosCoSrv.exe
(3668) -- TosBtSrv.exe
(3700) -- ULCDRSvr.exe
(3764) -- SearchIndexer.exe
(3836) -- XAudio.exe
(4044) -- wmpnetwk.exe
(3148) -- CFSwMgr.exe
(2656) -- PresentationFontCache.exe
(4032) -- TrustedInstaller.exe
(632) -- ctfmon.exe
(4184) -- ielowutil.exe
(4832) -- chrome.exe
(5024) -- chrome.exe
¤¤¤¤¤¤¤¤¤¤ | Running processes
Boot : Normal
[MD5.98AF15A94CD6AC37248E72E5FE789B35] - [31/12/2010 19:37:58] - 556 | C:\Windows\System32\smss.exe (.Microsoft Corporation - Windows Session Manager.) - (6.0.6002.18005) -> \SystemRoot\System32\smss.exe [64000 Ko]
[MD5.ABCA209EBA02CB59233614DB83B4F50D] - [23/12/2010 20:19:12] - 676 | C:\Windows\system32\csrss.exe (.Microsoft Corporation - Processus d'exécuttion client-serveur.) - (6.0.6001.18000) -> C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 [6144 Ko]
[MD5.101BA3EA053480BB5D957EF37C06B5ED] - [23/12/2010 20:21:14] - 728 | C:\Windows\system32\wininit.exe (.Microsoft Corporation - Application de démarrage de Windows.) - (6.0.6001.18000) -> wininit.exe [96768 Ko]
[MD5.ABCA209EBA02CB59233614DB83B4F50D] - [23/12/2010 20:19:12] - 740 | C:\Windows\system32\csrss.exe (.Microsoft Corporation - Processus d'exécuttion client-serveur.) - (6.0.6001.18000) -> C:\Windows\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,12288,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 [6144 Ko]
[MD5.17FFE3A6642B5DE7E93DBC21E124FA19] - [31/12/2010 19:39:01] - 776 | C:\Windows\system32\services.exe (.Microsoft Corporation - Applications Services et Contrôleur.) - (6.0.6002.18005) -> C:\Windows\system32\services.exe [279552 Ko]
[MD5.A3E186B4B935905B829219502557314E] - [20/01/2012 22:27:33] - 800 | C:\Windows\system32\lsass.exe (.Microsoft Corporation - Processus de l'autorité de sécurité locale.) - (6.0.6002.18541) -> C:\Windows\system32\lsass.exe [9728 Ko]
[MD5.7564348D8F099A4441C1A71875E104B5] - [23/12/2010 20:22:07] - 812 | C:\Windows\system32\lsm.exe (.Microsoft Corporation - Service du gestionnaire de session locale.) - (6.0.6001.18000) -> C:\Windows\system32\lsm.exe [229888 Ko]
[MD5.7A556AB2E204BF52993C0C56B61064C5] - [31/12/2010 19:38:46] - 856 | C:\Windows\system32\winlogon.exe (.Microsoft Corporation - Application d'ouverture de session Windows.) - (6.0.6002.18005) -> winlogon.exe [314368 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 992 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k DcomLaunch [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1064 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k rpcss [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1104 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k secsvcs [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1196 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1224 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1260 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k netsvcs [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1384 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k GPSvcGroup [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1452 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k LocalService [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1656 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k NetworkService [21504 Ko]
[MD5.8FA553E9AE69808D99C164733A0F9590] - [03/09/2011 09:28:38] - 1780 | C:\Program Files\AVAST Software\Avast\AvastSvc.exe (.AVAST Software - avast! Service.) - (7.0.1474.765) -> "C:\Program Files\AVAST Software\Avast\AvastSvc.exe" [44808 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 1980 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork [21504 Ko]
[MD5.01DD1004181FD46ECDC3628228EB269D] - [31/12/2010 19:38:42] - 640 | C:\Windows\system32\Dwm.exe (.Microsoft Corporation - Gestionnaire de fenêtres du Bureau.) - (6.0.6002.18005) -> "C:\Windows\system32\Dwm.exe" [81920 Ko]
[MD5.462359B9860EE4E00CA709083E84B048] - [11/12/2006 17:27:12] - 2820 | C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe (.TOSHIBA Corporation - TOSHIBA Flash Cards.) - (1.0.0.7) -> "C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [530552 Ko]
[MD5.2599F74F3555968BCA57777C65B21E37] - [03/09/2011 09:28:38] - 3160 | C:\Program Files\AVAST Software\Avast\AvastUI.exe (.AVAST Software - avast! Antivirus.) - (7.0.1474.765) -> "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui [4297136 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3444 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3480 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k imgsvc [21504 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3720 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\System32\svchost.exe -k WerSvcGroup [21504 Ko]
[MD5.8274C87726D4561EE8750D883764ACC1] - [31/12/2010 19:37:51] - 2728 | C:\Windows\system32\wbem\unsecapp.exe (.Microsoft Corporation - Sink to receive asynchronous callbacks for WMI client application.) - (6.0.6002.18005) -> C:\Windows\system32\wbem\unsecapp.exe -Embedding [37888 Ko]
[MD5.9E69F26034694A7FD5F1596A71F60DD1] - [31/12/2010 19:39:12] - 2492 | C:\Windows\system32\wbem\wmiprvse.exe (.Microsoft Corporation - WMI Provider Host.) - (6.0.6002.18005) -> C:\Windows\system32\wbem\wmiprvse.exe [247296 Ko]
[MD5.3794B461C45882E06856F282EEF025AF] - [23/12/2010 20:19:54] - 3424 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.0.6001.18000) -> C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [21504 Ko]
[MD5.E6F27C87BDDF1F39CC5A66393BB3ACB1] - [20/12/2012 16:33:10] - 5748 | C:\Users\administrateur\Desktop\winlogon.exe (. - g3n-h@ckm@n.) - (2.1.2.19) -> "C:\Users\administrateur\Desktop\winlogon.exe" [2475426 Ko]
[MD5.3E3CC13DEDFB26B089B419E8637F4656] - [05/11/2012 16:37:16] - 5848 | C:\Pre_Scan\Process\Pre_Scan_Protect.exe (. - g3n-h@ckm@n.) - (2.1.1.27) -> "C:\Pre_Scan\Process\Pre_Scan_Protect.exe" [311119 Ko]
[MD5.6080A176D09435FC8E6E800996656E18] - [31/12/2010 19:38:05] - 2132 | C:\Windows\system32\conime.exe (.Microsoft Corporation - Console IME.) - (6.0.6002.18005) -> C:\Windows\system32\conime.exe [69120 Ko]
[MD5.9E69F26034694A7FD5F1596A71F60DD1] - [31/12/2010 19:39:12] - 2360 | C:\Windows\system32\wbem\wmiprvse.exe (.Microsoft Corporation - WMI Provider Host.) - (6.0.6002.18005) -> C:\Windows\system32\wbem\wmiprvse.exe [247296 Ko]
¤¤¤¤¤¤¤¤¤¤ | Winlogon User : OK !
¤¤¤¤¤¤¤¤¤¤ | Winlogon Machine
Changed : [HKLM | Winlogon]|[AutoRestartShell] : 1 -> 0
Repaired : [HKLM | Winlogon]|[PowerDownAfterShutdown] : 0 -> 1
¤¤¤¤¤¤¤¤¤¤ | Associations
Repaired : [HKCR\Folder\shell\open\command] : %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L -> C:\Windows\Explorer.exe
¤
Repaired : [HKLM | IExplore.exe\shell\open\command] : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files\Internet Explorer\iexplore.exe"
Repaired : [HKLM | Google Chrome\shell\open\command] : "C:\Program Files\Google\Chrome\Application\chrome.exe" -> "C:\Users\administrateur\AppData\Local\Google\Chrome\Application\Chrome.exe"
Repaired : [Assoc | Applications] | @ : http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s
¤¤¤¤¤¤¤¤¤¤ | Registry
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{20D04FE0-3AEA-1069-A2D8-08002B30309D}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
Repaired : [HKLM | Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{59031a47-3f72-44a7-89c5-5595fe6b30ee}] : 1 -> 0
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Microsoft\Windows\CurrentVersion\Explorer\Advanced]|[Hidden] : 1 -> 0
Repaired : [HKU\S-1-5-18 | Microsoft\Windows\CurrentVersion\Policies\Explorer]|[NoDriveTypeAutoRun] : 00000000 -> 145
¤¤¤¤¤¤¤¤¤¤ | SafeBoot | Control | Repair
Safeboot Keys are O.K
Alternate shell is OK !
¤
Repaired : [HKLM | Minimal\SRService] : -> Service
Repaired : [HKLM | Minimal\sr.sys] : -> FSFilter System Recovery
¤
Repaired : [HKLM | Network\rdpcdd.sys] : -> Driver
¤¤¤¤¤¤¤¤¤¤ | IFEO : OK !
¤¤¤¤¤¤¤¤¤¤ | Mountpoints2 : OK !
¤¤¤¤¤¤¤¤¤¤ | Windows
Winsrv : OK !
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[AppInit_DLLS] :
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[LoadAppInit_DLLs] : 0
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[Programs] : com exe bat pif cmd
¤¤¤¤¤¤¤¤¤¤ | Security Center
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring]|[DisableMonitoring] : 1
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]|[DisableMonitoring] : 1
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]|[DisableMonitoring] : 1
¤¤¤¤¤¤¤¤¤¤ | Services Corrections
Repaired : [HKLM | Services\agp440] : 3 -> 2
Repaired : [HKLM | Services\EapHost] : 3 -> 2
Repaired : [HKLM | Services\SharedAccess] : 4 -> 2
¤¤¤¤¤¤¤¤¤¤ | Internet Explorer
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Internet Explorer\Main]|[Start Page] : https://www.google.com/webhp?hl=fr&gws_rd=ssl -> https://www.google.com/?gws_rd=ssl
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Internet Explorer\Main]|[Search Page] : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Repaired : [HKLM | Internet Explorer\Search]|[SearchAssistant] : -> http://www.google.com/toolbar/ie8/sidebar.html
Repaired : [HKLM | Internet Explorer\AboutURLs]|[Tabs] : -> res://ieframe.dll/tabswelcome.htm
¤
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Internet Explorer\PhishingFilter]|[EnabledV8] : 0 -> 1
Repaired : [HKU\S-1-5-21-2485511208-1383284528-1987079633-1000 | Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 -> 1
¤¤¤¤¤¤¤¤¤¤ | Hosts
C:\Windows\System32\Drivers\etc\hosts : Replaced
¤¤¤¤¤¤¤¤¤¤ | Files | Folders | Registry
Impossible to move : C:\Windows\msdownld.tmp
Impossible to move : C:\Users\ADMINI~1\AppData\Local\Temp\~DFE115.tmp
Moved to quarantine successfully : C:\Users\administrateur\AppData\Roaming\nvModes.dat
Moved to quarantine successfully : C:\ProgramData\hsswpr\hssuninst.dat
17:00:56
Moved to quarantine successfully : C:\Users\administrateur\AppData\Local\d3d9caps.dat
Moved to quarantine successfully : C:\Windows\System32\config\SystemProfile\AppData\Local\d3d9caps.dat
Impossible to move : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
Impossible to move : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
Moved to quarantine successfully : C:\Program Files\Common Files\AVSMedia
Moved to quarantine successfully : |D| - C:\Users\administrateur\AppData\LocalLow\Sun\Java\Deployment\cache\6.0
Prefetch -> Emptied
¤¤¤¤¤¤¤¤¤¤ | quarantined at reboot
Moved to quarantine successfully at Reboot : C:\Windows\msdownld.tmp
Moved to quarantine successfully at Reboot : C:\Users\ADMINI~1\AppData\Local\Temp\~DFE115.tmp
Not quarantined at Reboot : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
Not quarantined at Reboot : C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
¤¤¤¤¤
17:05:01
¤¤¤¤¤¤¤¤¤¤ | Listing Partition(s)
Disk: 0 Size= 95G
Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
--- ------ ---------- ---- ------ ---- ------------ ------------
0 0 27-UNKNWN 1.5G No No 2,048 3,072,000
1 1 07-NTFS 94G Yes No 3,074,048 192,294,912
¤¤¤¤¤¤¤¤¤¤ | MBR Control
MBR code signature : B2 CE 84 C0
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: TOSHIBA_MK1032GSX rev.AS022M -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS intelide.sys
1 nt!IofCallDriver[8288014B] -> \Device\Harddisk0\DR0[856D0378]
3 CLASSPNP[8728F8B3] -> nt!IofCallDriver[8288014B] -> [84C088F8]
5 acpi[86A4F6BC] -> nt!IofCallDriver[8288014B] -> \Device\Ide\IdeDeviceP0T0L0-0[84BFEB98]
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 7c00; MOV ES, AX; MOV DS, AX; MOV SI, 7c00; MOV DI, 600; MOV CX, 200; CLD ; REP MOVSB ; PUSH AX; PUSH 61c; RETF ; STI ; MOV CX, 4; MOV BP, 7be; CMP BYTE [BP+0], 0; }
user & kernel MBR OK
¤¤¤¤¤¤¤¤¤¤ | Hidden files
~ [Program Files] : Hidden : 2 | Restored : 2
~ [Users] : Hidden : 2 | Restored : 2
~ [Documents] : Hidden : 3 | Restored : 3
~ [Searches] : Hidden : 2 | Restored : 2
~ [Windows] : Hidden : 84 | Restored : 84
~ [Start Menu | Programs | Startup] : Hidden : 1 | Restored : 1
~ [AppData] : Hidden : 17 | Restored : 17
¤¤¤¤¤¤¤¤¤¤
[HKLM | Winlogon] | AutoRestartShell : 0 -> 1
End : 17:15:09
Pre_Scan_Protect.exe Stopped successfully !
~ Thx to C_XX , Slyk for their help for the evolution of the tool
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤ - 304
mince ,j'ai fait copier le lien et ensuite j'ai collé dans la réponse et tout c'est affiché ,ça n'était pas le but je crois .
JE VAIS REFAIRE un copier / coller à la souris
https://www.cjoint.com/?BLutvHzEc9J
après avoir mieux lu ,cause pas fait avec IE
https://www.cjoint.com/?BLutvHzEc9J
CE dernier devrait être le bon .
Ca a mis le bazar sur mon burau ,je me retrouve avec des icônes réseau ;systeme ect... une fenêtre de toshiba s'affiche ,concernant flashcard ???
JE TOUCHE plus à rien ,j'attends tes infos .
JE VAIS REFAIRE un copier / coller à la souris
https://www.cjoint.com/?BLutvHzEc9J
après avoir mieux lu ,cause pas fait avec IE
https://www.cjoint.com/?BLutvHzEc9J
CE dernier devrait être le bon .
Ca a mis le bazar sur mon burau ,je me retrouve avec des icônes réseau ;systeme ect... une fenêtre de toshiba s'affiche ,concernant flashcard ???
JE TOUCHE plus à rien ,j'attends tes infos .
les icones en plus tu peux les virer c'est au cas où l'infection te vire l'accès pas le menu demarrer et que l'outil n'arrive pas à regler ce probleme via le registre
relance l'outil , clique sur Diag et herberge le rapport pre_diag puis donne le lien
relance l'outil , clique sur Diag et herberge le rapport pre_diag puis donne le lien
nouvelle fenêtre
toshiba online product information
log à configurer
j'ose pas faire "suivanr"
J'attends tes consignes ...
toshiba online product information
log à configurer
j'ose pas faire "suivanr"
J'attends tes consignes ...
on s'en chargera ensuite
pour l instant :
https://forums.commentcamarche.net/forum/affich-26706370-le-pc-doit-etre-infecte-besoin-de-confirmer-svp#11
pour l instant :
https://forums.commentcamarche.net/forum/affich-26706370-le-pc-doit-etre-infecte-besoin-de-confirmer-svp#11
JE COMPRENDS PAS ?je le refais
https://www.cjoint.com/?BLuvbG6IGS9
https://www.cjoint.com/?BLuvfvbIora
https://www.cjoint.com/?BLuvbG6IGS9
https://www.cjoint.com/?BLuvfvbIora
je dois relancer winlogon.exe pour
relance l'outil , clique sur Diag et herberge le rapport pre_diag puis donne le lien
relance l'outil , clique sur Diag et herberge le rapport pre_diag puis donne le lien
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
voici
Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.20.10
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
administrateur :: PC-DE-ADMINISTR [administrateur]
Protection: Activé
20/12/2012 22:31:05
mbam-log-2012-12-20 (22-31-05).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 317335
Temps écoulé: 1 heure(s), 9 minute(s), 40 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Users\administrateur\Pictures\W7\Crack\Windows 7 Loader v1.7.9\Windows 7 Loader.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\administrateur\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
C:\Users\administrateur\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin
ensuite
2012/12/20 22:28:44 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting protection
2012/12/20 22:28:44 +0100 PC-DE-ADMINISTR administrateur MESSAGE Protection started successfully
2012/12/20 22:28:44 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting IP protection
2012/12/20 22:28:57 +0100 PC-DE-ADMINISTR administrateur MESSAGE IP Protection started successfully
2012/12/20 22:29:00 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting database refresh
2012/12/20 22:29:00 +0100 PC-DE-ADMINISTR administrateur MESSAGE Stopping IP protection
2012/12/20 22:29:01 +0100 PC-DE-ADMINISTR administrateur MESSAGE IP Protection stopped successfully
2012/12/20 22:29:05 +0100 PC-DE-ADMINISTR administrateur MESSAGE Database refreshed successfully
2012/12/20 22:29:05 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting IP protection
2012/12/20 22:29:10 +0100 PC-DE-ADMINISTR administrateur MESSAGE IP Protection started successfully
2012/12/20 22:39:53 +0100 PC-DE-ADMINISTR administrateur MESSAGE Executing scheduled update: Daily
2012/12/20 22:39:55 +0100 PC-DE-ADMINISTR administrateur ERROR Scheduled update failed: Host not found failed with error code 0
et le dernier
2012/12/21 00:05:41 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting protection
2012/12/21 00:05:41 +0100 PC-DE-ADMINISTR administrateur MESSAGE Protection started successfully
2012/12/21 00:05:41 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting IP protection
2012/12/21 00:05:45 +0100 PC-DE-ADMINISTR administrateur MESSAGE IP Protection started successfully
là je vais me coucher ,merci et à demain
Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.20.10
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
administrateur :: PC-DE-ADMINISTR [administrateur]
Protection: Activé
20/12/2012 22:31:05
mbam-log-2012-12-20 (22-31-05).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 317335
Temps écoulé: 1 heure(s), 9 minute(s), 40 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Users\administrateur\Pictures\W7\Crack\Windows 7 Loader v1.7.9\Windows 7 Loader.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\administrateur\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
C:\Users\administrateur\Downloads\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin
ensuite
2012/12/20 22:28:44 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting protection
2012/12/20 22:28:44 +0100 PC-DE-ADMINISTR administrateur MESSAGE Protection started successfully
2012/12/20 22:28:44 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting IP protection
2012/12/20 22:28:57 +0100 PC-DE-ADMINISTR administrateur MESSAGE IP Protection started successfully
2012/12/20 22:29:00 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting database refresh
2012/12/20 22:29:00 +0100 PC-DE-ADMINISTR administrateur MESSAGE Stopping IP protection
2012/12/20 22:29:01 +0100 PC-DE-ADMINISTR administrateur MESSAGE IP Protection stopped successfully
2012/12/20 22:29:05 +0100 PC-DE-ADMINISTR administrateur MESSAGE Database refreshed successfully
2012/12/20 22:29:05 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting IP protection
2012/12/20 22:29:10 +0100 PC-DE-ADMINISTR administrateur MESSAGE IP Protection started successfully
2012/12/20 22:39:53 +0100 PC-DE-ADMINISTR administrateur MESSAGE Executing scheduled update: Daily
2012/12/20 22:39:55 +0100 PC-DE-ADMINISTR administrateur ERROR Scheduled update failed: Host not found failed with error code 0
et le dernier
2012/12/21 00:05:41 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting protection
2012/12/21 00:05:41 +0100 PC-DE-ADMINISTR administrateur MESSAGE Protection started successfully
2012/12/21 00:05:41 +0100 PC-DE-ADMINISTR administrateur MESSAGE Starting IP protection
2012/12/21 00:05:45 +0100 PC-DE-ADMINISTR administrateur MESSAGE IP Protection started successfully
là je vais me coucher ,merci et à demain
