Rootkit dans winsxs
Yojim
-
yojim Messages postés 54 Statut Membre -
yojim Messages postés 54 Statut Membre -
Bonjour,
Je viens vers vous, car après avoir remarqué le comportement bizarre de mon ordinateur (changement de la page de démarrage firefox, extinction inopiné...), j'ai décider de lancer un scan Avast, après plus de 5 heures et près de 200 rootkits trouvé dans le dossier winsxs (apparemment il faut pas trop y toucher), mon pc s'est éteint tout seul.
En le rallumant, j'en ai profité pour mettre les fichiers infectés en quarantaine, mais impossible de refaire un scan complet d'avast, l'ordinateur s'arrête avant la fin.
Que puis-je faire pour débloquer la situation ?
Je viens vers vous, car après avoir remarqué le comportement bizarre de mon ordinateur (changement de la page de démarrage firefox, extinction inopiné...), j'ai décider de lancer un scan Avast, après plus de 5 heures et près de 200 rootkits trouvé dans le dossier winsxs (apparemment il faut pas trop y toucher), mon pc s'est éteint tout seul.
En le rallumant, j'en ai profité pour mettre les fichiers infectés en quarantaine, mais impossible de refaire un scan complet d'avast, l'ordinateur s'arrête avant la fin.
Que puis-je faire pour débloquer la situation ?
A voir également:
- Winsxs virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
12 réponses
Bonjour
On va faire une analyse de ton systéme.
* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe
***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, (icône en forme de parchemin) exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
On va faire une analyse de ton systéme.
* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe
***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, (icône en forme de parchemin) exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Bonjour, merci d'avoir répondu à mon sujet, voici le diagnostique :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121224_q11f13m512q13
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121224_q11f13m512q13
* Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)
*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
Ok, voici le rapport :
# AdwCleaner v2.102 - Rapport créé le 24/12/2012 à 09:58:33
# Mis à jour le 23/12/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Clément - CLÉMENT-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Clément\Downloads\AdwCleaner.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\Users\Clément\AppData\Roaming\Babylon
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk
Fichier Supprimé : C:\Users\Clément\AppData\Roaming\Mozilla\Firefox\Profiles\jxc4c9tc.default\searchplugins\Conduit.xml
Fichier Supprimé : C:\Users\CLMENT~1\AppData\Local\Temp\rpidity.crx
***** [Registre] *****
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\Software\Messenger Plus!\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\rpidity_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\rpidity_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{76C45B18-A29E-43EA-AAF8-AF55C2E1AE17}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{96EF404C-24C7-43D0-9096-4CCC8BB7CCAC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{97720195-206A-42AE-8E65-260B9BA5589F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{986F7A5A-9676-47E1-8642-F41F8C3FCF82}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{B18788A4-92BD-440E-A4D1-380C36531119}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\hcdolklkjeckmmhijeoimikandkdeknn
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
***** [Navigateurs] *****
-\\ Internet Explorer v9.0.8112.16457
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.rpidity.com/ --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.rpidity.com --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.rpidity.com --> hxxp://www.google.com
-\\ Mozilla Firefox v17.0.1 (fr)
Fichier : C:\Users\Clément\AppData\Roaming\Mozilla\Firefox\Profiles\jxc4c9tc.default\prefs.js
C:\Users\Clément\AppData\Roaming\Mozilla\Firefox\Profiles\jxc4c9tc.default\user.js ... Supprimé !
Supprimée : user_pref("browser.search.defaultthis.engineName", "Softonic France FF Customized Web Search");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2207610&Sea[...]
Supprimée : user_pref("browser.startup.homepage", "hxxp://search.rpidity.com/");
*************************
AdwCleaner[S1].txt - [3454 octets] - [24/12/2012 09:58:33]
########## EOF - C:\AdwCleaner[S1].txt - [3514 octets] ##########
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
1/Télécharges mbar
2/Décompresses le contenu du dossier vers le bureau.
3/Ouvrir le dossier et exécuter mbar.exe (Vista/7 exécuter en tant qu'administrateur)
4/La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur.
Clic sur Next
5/La nouvelle fenêtre te propose de faire la mise a jour .Clic sur Update et une fois terminé clic sur next
6/Pour lancer l'analyse clic sur scan
7/Cliques sur le bouton Nettoyage (cleanup) pour supprimer toutes les menaces et redémarrer si tu es invité à le faire.
8/Patiente pendant le processus de nettoyage qui peut être long.
9/Lorsque terminé, envois les deux rapports qui se trouvent dans MBAR dossier.
mbar-log.txt et du système log.txt
2/Décompresses le contenu du dossier vers le bureau.
3/Ouvrir le dossier et exécuter mbar.exe (Vista/7 exécuter en tant qu'administrateur)
4/La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur.
Clic sur Next
5/La nouvelle fenêtre te propose de faire la mise a jour .Clic sur Update et une fois terminé clic sur next
6/Pour lancer l'analyse clic sur scan
7/Cliques sur le bouton Nettoyage (cleanup) pour supprimer toutes les menaces et redémarrer si tu es invité à le faire.
8/Patiente pendant le processus de nettoyage qui peut être long.
9/Lorsque terminé, envois les deux rapports qui se trouvent dans MBAR dossier.
mbar-log.txt et du système log.txt
Ok, voici les deux rapports :
Apparemment, il n'a rien trouvé de bizarre :
http://pjjoint.malekal.com/files.php?id=20121224_t11y15i8p10q10
http://pjjoint.malekal.com/files.php?id=20121224_c11u7j10y12r5
Apparemment, il n'a rien trouvé de bizarre :
http://pjjoint.malekal.com/files.php?id=20121224_t11y15i8p10q10
http://pjjoint.malekal.com/files.php?id=20121224_c11u7j10y12r5
Ou en sont tes problémes??
On va faire une vérification .
Post un nouveau rapport zhpdiag.
Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
On va faire une vérification .
Post un nouveau rapport zhpdiag.
Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Cela à l'air d'aller mieux, mais je n'ai pas encore essayer de relancer un scan avast, pour voir si mon ordinateur s'éteint. Voici le rapport que tu m'as demandé :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121224_j14b10l7w13y9
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20121224_j14b10l7w13y9
1/ Copie/colle les lignes suivantes en gras:
--------------------------------------------
O43 - CFD: 02/10/2012 - 15:15:06 - [0] ----D C:\Program Files (x86)\rpidity
[MD5.0BF369C8765A03092F0337D80BA519C6] [SPRF][29/03/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Clément\AppData\Local\Temp\MyBabylonTB.exe [862832]
[HKLM\Software\Wow6432Node\Classes\CLSID\{7cd74aff-3433-4e34-92e2-d98dfdb30754}]
P2 - FPN: [HKLM] [@microsoft.com/VirtualEarth3D,version=4.0] - (...) -- (.not file.)
R3 - URLSearchHook: (no name) [64Bits] - {6d6b212b-2245-4898-8b16-9a11b81ff9e1} . (...) (No version) -- (.not file.)
[HKCU\Software\AppDataLow\Software\Softonic_France_FF]
[HKCU\Software\AppDataLow\Software\Softonic_France_FF]
C:\Users\Clément\AppData\LocalLow\Softonic_France_FF
EmptyTemp
FirewallRaz
--------------------------------------------
2 Lance ZHPFix (icône en forme de seringue) à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
3 Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
4 Clique sur le bouton GO pour lancer le nettoyage
5 Copie/colle la totalité du rapport dans ta prochaine réponse.
============================================================
Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)
http://eldesaparecido.com/tools/UsbFix.exe
\ !/Désactive provisoirement la protection en temps réel de ton Antivirus et de tes Antispywares.\ !/
* Double-clique sur l'icône Usbfix située sur ton Bureau.
* Clique sur le bouton.
* Recherche
* Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Cliques sur OK
* Laisses Usbfix scanner ton système
* Postes le rapport qui se trouve ici ===========?C:\ UsbFix.txt
\ !/Apres l'option suppression il est recommander de redémarrer votre pc .Pensez a réactiver vos protections . (Antivirus et Antispywares.)\ !/
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un
--------------------------------------------
O43 - CFD: 02/10/2012 - 15:15:06 - [0] ----D C:\Program Files (x86)\rpidity
[MD5.0BF369C8765A03092F0337D80BA519C6] [SPRF][29/03/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Clément\AppData\Local\Temp\MyBabylonTB.exe [862832]
[HKLM\Software\Wow6432Node\Classes\CLSID\{7cd74aff-3433-4e34-92e2-d98dfdb30754}]
P2 - FPN: [HKLM] [@microsoft.com/VirtualEarth3D,version=4.0] - (...) -- (.not file.)
R3 - URLSearchHook: (no name) [64Bits] - {6d6b212b-2245-4898-8b16-9a11b81ff9e1} . (...) (No version) -- (.not file.)
[HKCU\Software\AppDataLow\Software\Softonic_France_FF]
[HKCU\Software\AppDataLow\Software\Softonic_France_FF]
C:\Users\Clément\AppData\LocalLow\Softonic_France_FF
EmptyTemp
FirewallRaz
--------------------------------------------
2 Lance ZHPFix (icône en forme de seringue) à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
3 Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
4 Clique sur le bouton GO pour lancer le nettoyage
5 Copie/colle la totalité du rapport dans ta prochaine réponse.
============================================================
Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)
http://eldesaparecido.com/tools/UsbFix.exe
\ !/Désactive provisoirement la protection en temps réel de ton Antivirus et de tes Antispywares.\ !/
* Double-clique sur l'icône Usbfix située sur ton Bureau.
* Clique sur le bouton.
* Recherche
* Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Cliques sur OK
* Laisses Usbfix scanner ton système
* Postes le rapport qui se trouve ici ===========?C:\ UsbFix.txt
\ !/Apres l'option suppression il est recommander de redémarrer votre pc .Pensez a réactiver vos protections . (Antivirus et Antispywares.)\ !/
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un
Voilà les rapports :
ZHPFix:
USBFix:
ZHPFix:
Rapport de ZHPFix 1.3.10 par Nicolas Coolman, Update du 11/12/2012
Fichier d'export Registre :
Run by Clément at 24/12/2012 16:48:00
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Wow6432Node\Classes\CLSID\{7cd74aff-3433-4e34-92e2-d98dfdb30754}
SUPPRIME Key*: Mozilla Plugin: @microsoft.com/VirtualEarth3D,version=4.0
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Softonic_France_FF
========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {6d6b212b-2245-4898-8b16-9a11b81ff9e1}
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (None) : {8B4BF02E-779C-4E59-BF4A-A175A009F255}
SUPPRIME FirewallRaz (Private) : TCP Query User{B9FEF950-218C-4E33-A817-5ECBA43EBC01}G:\bazooka\pes2010.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{6369B936-4937-4CD7-B048-E4D9B2FB84B6}G:\bazooka\pes2010.exe
========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files (x86)\rpidity
SUPPRIME Folder: c:\users\clément\appdata\locallow\softonic_france_ff
SUPPRIME Temporaires Windows:
========== Fichier(s) ==========
ABSENT Folder/File: c:\users\clément\appdata\local\temp\mybabylontb.exe
SUPPRIME Temporaires Windows:
========== Récapitulatif ==========
3 : Clé(s) du Registre
6 : Valeur(s) du Registre
3 : Dossier(s)
2 : Fichier(s)
End of clean in 00mn 10s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 24/12/2012 16:48:04 [1514]
USBFix:
############################## | UsbFix V 7.102 | [Recherche] Utilisateur: Clément (Administrateur) # CLÉMENT-PC Mis à jour le 20/12/2012 par El Desaparecido Lancé à 16:52:37 | 24/12/2012 Site Web: https://www.sosvirus.net/ Contact: contact@eldesaparecido.com PC: Hewlett-Packard (HP Pavilion dv6 Notebook PC) (x64-based PC CPU: Intel(R) Core(TM) i5 CPU M 430 @ 2.27GHz (2267) RAM -> [Total : 4023 | Free : 1432] BIOS: Default System BIOS BOOT: Normal boot OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1 WB: Windows Internet Explorer 9.0.8112.16421 SC: Security Center Service [Enabled] WU: Windows Update Service [Enabled] AS: Windows Defender [Enabled | Updated] FW: Windows FireWall Service [Enabled] C:\ (%systemdrive%) -> Disque fixe # 579 Go (304 Go libre(s) - 52%) [] # NTFS D:\ -> Disque fixe # 17 Go (3 Go libre(s) - 16%) [RECOVERY] # NTFS E:\ -> Disque fixe # 99 Mo (95 Mo libre(s) - 96%) [HP_TOOLS] # FAT32 F:\ -> CD-ROM G:\ -> CD-ROM H:\ -> Disque amovible # 2 Go (2 Go libre(s) - 99%) [] # FAT ################## | Processus Actif | C:\Windows\system32\csrss.exe (536) C:\Windows\system32\wininit.exe (596) C:\Windows\system32\csrss.exe (616) C:\Windows\system32\services.exe (660) C:\Windows\system32\lsass.exe (680) C:\Windows\system32\lsm.exe (688) C:\Windows\system32\svchost.exe (788) C:\Windows\system32\winlogon.exe (856) C:\Windows\system32\nvvsvc.exe (912) C:\Windows\system32\svchost.exe (952) C:\Windows\System32\svchost.exe (432) C:\Windows\System32\svchost.exe (524) C:\Windows\system32\svchost.exe (736) C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\STacSV64.exe (1036) C:\Windows\system32\svchost.exe (1208) C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe (1260) C:\Windows\system32\nvvsvc.exe (1272) C:\Windows\system32\Hpservice.exe (1320) C:\Windows\system32\svchost.exe (1420) C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1556) C:\Windows\system32\WLANExt.exe (1564) C:\Windows\system32\conhost.exe (1572) C:\Windows\System32\spoolsv.exe (1756) C:\Windows\system32\svchost.exe (1800) C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (1956) C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\AESTSr64.exe (1976) C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (2028) C:\Program Files\Bonjour\mDNSResponder.exe (2260) C:\Windows\system32\taskhost.exe (2404) C:\Windows\system32\Dwm.exe (2484) C:\Windows\Explorer.EXE (2508) C:\Windows\system32\taskeng.exe (2600) C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe (2960) C:\Program Files\Intel\WiFi\bin\EvtEng.exe (2280) C:\Windows\SysWOW64\svchost.exe (2348) C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe (2540) c:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe (2848) c:\Program Files (x86)\Hewlett-Packard\Media\Live TV\TVAgent.exe (2876) C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2596) C:\Program Files\Autodesk\3ds Max 2012\mentalimages\satellite\raysat_3dsmax2012_64server.exe (2916) C:\Program Files\NVIDIA Corporation\Display\nvtray.exe (2928) C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (3052) C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe (2272) C:\Windows\system32\svchost.exe (424) C:\Program Files\IDT\WDM\sttray64.exe (3312) C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe (3364) C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe (3556) C:\Windows\system32\svchost.exe (3840) C:\Program Files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe (4008) C:\Program Files (x86)\BOINC\boinctray.exe (4044) C:\Program Files\AVAST Software\Avast\AvastUI.exe (4056) C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (816) C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe (2328) C:\Windows\system32\SearchIndexer.exe (4192) C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe (4240) C:\Windows\system32\wbem\unsecapp.exe (4436) C:\Windows\system32\svchost.exe (4656) C:\Windows\system32\wbem\wmiprvse.exe (4760) C:\Program Files\Windows Media Player\wmpnetwk.exe (4844) C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe (2620) C:\Program Files (x86)\Hewlett-Packard\Shared\hpqToaster.exe (4636) C:\Program Files (x86)\Hewlett-Packard\Shared\hpCaslNotification.exe (2312) C:\Windows\System32\svchost.exe (3168) C:\Program Files\Intel\BluetoothHS\BTHSAmpPalService.exe (2660) C:\Program Files\Intel\BluetoothHS\BTHSSecurityMgr.exe (1676) C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe (5388) C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (5480) C:\Windows\System32\svchost.exe (5740) C:\Windows\system32\taskeng.exe (2044) C:\Windows\SYSTEM32\cmd.exe (5096) C:\Windows\system32\conhost.exe (3488) C:\Program Files (x86)\Mozilla Firefox\firefox.exe (4304) C:\Windows\system32\NOTEPAD.EXE (6328) C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (7136) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_3_300_271.exe (5680) C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_3_300_271.exe (6888) C:\Windows\system32\SearchProtocolHost.exe (5552) C:\Windows\system32\SearchFilterHost.exe (4620) C:\UsbFix\Go.exe (6880) C:\Windows\system32\wbem\wmiprvse.exe (7116) C:\Windows\system32\svchost.exe (5728) C:\Users\Clément\AppData\Roaming\Dropbox\bin\Dropbox.exe (7048) C:\Windows\System32\WUDFHost.exe (3976) ################## | Éléments infectieux | ################## | Registre | Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr ################## | Mountpoints2 | HKCU\.\.\.\.\Explorer\MountPoints2\{92a98848-bd6e-11df-8ba6-c6a13b716e58} Shell\AutoRun\Command = G:\Setup.exe HKCU\.\.\.\.\Explorer\MountPoints2\{aec2914f-899f-11df-99dd-b92c3c924f50} Shell\AutoRun\Command = G:\Launcher.exe HKCU\.\.\.\.\Explorer\MountPoints2\{bd6cfd87-2905-11df-8e1a-c1305dfe4b57} Shell\AutoRun\Command = G:\autorun.exe HKCU\.\.\.\.\Explorer\MountPoints2\{d526a0cb-8988-11df-9243-a95f9a66ed54} Shell\AutoRun\Command = G:\Launcher.exe ################## | Vaccin | (!) Cet ordinateur n'est pas vacciné! ################## | E.O.F |
