virus suite MaJ adobe flash player ?? Fermé

Question

Bonjour et bonne année à tous 
quelqu'un pourrai m'aider à désinfecter le PC d'un ami qui pose probleme depuis une mise à jour de flashplayer (proposé sur youtube ) ,j'ai scanné avec RSIT ,voilà les résultats :info.txt logfile of random's system information tool 1.09 2012-12-31 18:58:58

======Uninstall list======

-->C:\ProgramData\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1}\bm_installer.exe
Acer Crystal Eye Webcam-->C:\Program Files (x86)\InstallShield Installation Information\{7760D94E-B1B5-40A0-9AA0-ABF942108755}\setup.exe -runfromtemp -l0x040c -removeonly
Adobe Flash Player 11 ActiveX-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_5_502_135_ActiveX.exe -maintain activex
Adobe Flash Player 11 Plugin-->C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_11_5_502_135_Plugin.exe -maintain plugin
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver-->"C:\Program Files (x86)\InstallShield Installation Information\{3108C217-BE83-42E4-AE9E-A56A2A92E549}\setup.exe" -runfromtemp -l0x0009 -removeonly
Installation Windows Live-->C:\Program Files (x86)\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
Java(TM) 6 Update 22-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022F0}
Java(TM) 6 Update 31-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF}
Junk Mail filter update-->MsiExec.exe /I{E2DFE069-083E-4631-9B6C-43C48E991DE5}
K-Lite Codec Pack 7.8.0 (Full)-->"C:\Program Files (x86)\K-Lite Codec Pack\unins000.exe"
Launch Manager-->C:\Windows\UnInst32.exe LManager.UNI
Media Player Classic - Home Cinema v. 1.3.1249.0-->"C:\Program Files (x86)\MPC HomeCinema\unins000.exe"
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053-->MsiExec.exe /X{770657D0-A123-3C07-8E44-1C83EC895118}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148-->MsiExec.exe /X{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161-->MsiExec.exe /X{9BE518E6-ECC6-35A9-88E4-87755C07200F}
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
OpenOffice.org 3.3-->MsiExec.exe /I{05653DE1-6567-40C6-B930-39D399B64369}
Picasa 3-->"C:\Program Files (x86)\Google\Picasa3\Uninstall.exe"
Realtek High Definition Audio Driver-->C:\Program Files\Realtek\Audio\HDA\RtlUpd64.exe -r -m -nrg2709
Realtek USB 2.0 Card Reader-->"C:\Program Files (x86)\InstallShield Installation Information\{96AE7E41-E34E-47D0-AC07-1091A8127911}\setup.exe" -runfromtemp -l0x0009 -removeonly
RocketDock 1.3.5-->"C:\Program Files (x86)\RocketDock\unins000.exe"
Security Update for Microsoft .NET Framework 4 Client Profile (KB2160841)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {FD8D7C9A-E56A-3E7B-BA6D-FE68F13296E3} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {F66C3466-1FDB-347C-B3AE-FB6C50627B10} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {B5BD3CA1-11AB-35A6-B22A-6A219DC0668E} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {E720AD01-93D5-3E8E-BB8D-E4EF5AF4E5DD} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {BCD37DCB-F479-3D4D-A90E-A0F7575549C4} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {FF811680-AECE-3F35-A98C-1B84B6E09168} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {6AF6C62E-4E3D-33BF-A591-9E4D53BDF22F} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {5D45782A-1099-317E-ABCC-FF63D5B21386} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {E59B2174-E924-311F-8549-AD714C14664D} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {FDD13F1E-9C6B-311E-A0D9-D6E172FC28FF} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368v2)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {DA36C2E5-6B34-3A6A-9C0A-7D1CC1C5A768} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {7B82A51A-768B-3A7B-ADFA-F777097A8079} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2686827)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {E40184A4-4A61-3D2E-9035-CB6E1E610E07} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2729449)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {4736E989-32D9-3B91-90D7-C68848E118CA} /parameterfolder Client
Security Update for Microsoft .NET Framework 4 Client Profile (KB2737019)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {F1696E2F-4803-362F-A756-65B363483FE6} /parameterfolder Client
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {29C7BE97-DE59-37A2-A687-2ADD5321948A} /parameterfolder Client
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {7D799A81-5661-3159-BF92-754161CED6E6} /parameterfolder Client
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)-->C:\Windows\Microsoft.NET\Framework64\v4.0.30319\SetupCache\Client\setup.exe /uninstallpatch {4DFA8287-EA36-3469-99FE-F568FEC81653} /parameterfolder Client
VLC media player 1.1.9-->C:\Program Files (x86)\VideoLAN\VLC\uninstall.exe
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Mail-->MsiExec.exe /I{5DD76286-9BE7-4894-A990-E905E91AC818}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}

======System event log======

Computer Name: xavier-PC
Event Code: 6008
Message: L'arrêt système précédant à 19:43:58 le ?12/?06/?2012 n'était pas prévu.
Record Number: 200535
Source Name: EventLog
Time Written: 20120612174526.000000-000
Event Type: Erreur
User: 

Computer Name: xavier-PC
Event Code: 1014
Message: La résolution du nom clients2.google.com a expiré lorsqu'aucun des serveurs DNS configurés n'a répondu.
Record Number: 200466
Source Name: Microsoft-Windows-DNS-Client
Time Written: 20120611075819.559814-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE RÉSEAU

Computer Name: xavier-PC
Event Code: 1014
Message: La résolution du nom dns.msftncsi.com a expiré lorsqu'aucun des serveurs DNS configurés n'a répondu.
Record Number: 200382
Source Name: Microsoft-Windows-DNS-Client
Time Written: 20120609152512.924037-000
Event Type: Avertissement
User: AUTORITE NT\SERVICE RÉSEAU

Computer Name: xavier-PC
Event Code: 4001
Message: Le Service d'autoconfiguration WLAN s'est arrêté correctement.

Record Number: 200266
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20120607221543.623577-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: xavier-PC
Event Code: 4001
Message: Le Service d'autoconfiguration WLAN s'est arrêté correctement.

Record Number: 200031
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20120605103325.391001-000
Event Type: Avertissement
User: AUTORITE NT\Système

=====Application event log=====

Computer Name: xavier-PC
Event Code: 33
Message: La création du contexte d'activation a échoué pour « C:\Windows\system32\conhost.exe ». Assembly dépendant Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823" introuvable. Utilisez sxstrace.exe pour un diagnostic détaillé.
Record Number: 26657
Source Name: SideBySide
Time Written: 20110725010512.000000-000
Event Type: Erreur
User: 

Computer Name: xavier-PC
Event Code: 33
Message: La création du contexte d'activation a échoué pour « C:\Windows\system32\conhost.exe ». Assembly dépendant Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823" introuvable. Utilisez sxstrace.exe pour un diagnostic détaillé.
Record Number: 26655
Source Name: SideBySide
Time Written: 20110725010445.000000-000
Event Type: Erreur
User: 

Computer Name: xavier-PC
Event Code: 33
Message: La création du contexte d'activation a échoué pour « C:\Windows\system32\conhost.exe ». Assembly dépendant Microsoft.Windows.SystemCompatible,processorArchitecture="amd64",publicKeyToken="6595b64144ccf1df",type="win32",version="6.0.7600.16823" introuvable. Utilisez sxstrace.exe pour un diagnostic détaillé.
Record Number: 26645
Source Name: SideBySide
Time Written: 20110725010418.000000-000
Event Type: Erreur
User: 

Computer Name: xavier-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 2 user registry handles leaked from \Registry\User\S-1-5-21-2086411464-3367556648-2596856513-1001_Classes:
Process 2004 (\Device\HarddiskVolume3\Program Files (x86)\uTorrent\uTorrent.exe) has opened key \REGISTRY\USER\S-1-5-21-2086411464-3367556648-2596856513-1001_CLASSES
Process 2004 (\Device\HarddiskVolume3\Program Files (x86)\uTorrent\uTorrent.exe) has opened key \REGISTRY\USER\S-1-5-21-2086411464-3367556648-2596856513-1001_CLASSES

Record Number: 26641
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20110724214214.937522-000
Event Type: Avertissement
User: AUTORITE NT\Système

Computer Name: xavier-PC
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela. 

 DÉTAIL - 
 7 user registry handles leaked from \Registry\User\S-1-5-21-2086411464-3367556648-2596856513-1001:
Process 2004 (\Device\HarddiskVolume3\Program Files (x86)\uTorrent\uTorrent.exe) has opened key \REGISTRY\USER\S-1-5-21-2086411464-3367556648-2596856513-1001
Process 2004 (\Device\HarddiskVolume3\Program Files (x86)\uTorrent\uTorrent.exe) has opened key \REGISTRY\USER\S-1-5-21-2086411464-3367556648-2596856513-1001\Software\Microsoft\Windows NT\CurrentVersion\Network\Location Awareness
Process 2004 (\Device\HarddiskVolume3\Program Files (x86)\uTorrent\uTorrent.exe) has opened key \REGISTRY\USER\S-1-5-21-2086411464-3367556648-2596856513-1001\Software\Microsoft\Windows\CurrentVersion\Explorer
Process 2004 (\Device\HarddiskVolume3\Program Files (x86)\uTorrent\uTorrent.exe) has opened key \REGISTRY\USER\S-1-5-21-2086411464-3367556648-2596856513-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Process 2004 (\Device\HarddiskVolume3\Program Files (x86)\uTorrent\uTorrent.exe) has opened key \REGISTRY\USER\S-1-5-21-2086411464-3367556648-2596856513-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Process 2004 (\Device\HarddiskVolume3\Program Files (x86)\uTorrent\uTorrent.exe) has opened key \REGISTRY\USER\S-1-5-21-2086411464-3367556648-2596856513-1001\Software\Microsoft\Internet Explorer\IETld
Process 2004 (\Device\HarddiskVolume3\Program Files (x86)\uTorrent\uTorrent.exe) has opened key \REGISTRY\USER\S-1-5-21-2086411464-3367556648-2596856513-1001\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Record Number: 26640
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20110724214214.453922-000
Event Type: Avertissement
User: AUTORITE NT\Système

=====Security event log=====

Computer Name: xavier-PC
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		Système
	Domaine du compte :		AUTORITE NT
	ID d'ouverture de session :		0x3e7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 51243
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120306082057.128873-000
Event Type: Succès de l'audit
User: 

Computer Name: xavier-PC
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		XAVIER-PC$
	Domaine du compte :		WORKGROUP
	ID d'ouverture de session :		0x3e7

Type d'ouverture de session :			5

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-18
	Nom du compte :		Système
	Domaine du compte :		AUTORITE NT
	ID d'ouverture de session :		0x3e7
	GUID d'ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x21c
	Nom du processus :		C:\Windows\System32\services.exe

Informations sur le réseau :
	Nom de la station de travail :	
	Adresse du réseau source :	-
	Port source :		-

Informations détaillées sur l'authentification :
	Processus d'ouverture de session :		Advapi  
	Package d'authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
	- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 51242
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120306082057.128873-000
Event Type: Succès de l'audit
User: 

Computer Name: xavier-PC
Event Code: 4634
Message: Fermeture de session d'un compte.

Sujet :
	ID de sécurité :		S-1-5-21-2086411464-3367556648-2596856513-1001
	Nom du compte :		xavier
	Domaine du compte :		xavier-PC
	ID du compte :		0x2b9cee

Type d'ouverture de session :			7

Cet événement est généré lorsqu'une session ouverte est supprimée. Il peut être associé à un événement d'ouverture de session en utilisant la valeur ID d'ouverture de session. Les ID d'ouverture de session ne sont uniques qu'entre les redémarrages sur un même ordinateur.
Record Number: 51241
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120306081112.037244-000
Event Type: Succès de l'audit
User: 

Computer Name: xavier-PC
Event Code: 4672
Message: Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		S-1-5-21-2086411464-3367556648-2596856513-1001
	Nom du compte :		xavier
	Domaine du compte :		xavier-PC
	ID d'ouverture de session :		0x2b9cee

Privilèges :		SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege
Record Number: 51240
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120306081112.021644-000
Event Type: Succès de l'audit
User: 

Computer Name: xavier-PC
Event Code: 4624
Message: L'ouverture de session d'un compte s'est correctement déroulée.

Sujet :
	ID de sécurité :		S-1-5-18
	Nom du compte :		XAVIER-PC$
	Domaine du compte :		WORKGROUP
	ID d'ouverture de session :		0x3e7

Type d'ouverture de session :			7

Nouvelle ouverture de session :
	ID de sécurité :		S-1-5-21-2086411464-3367556648-2596856513-1001
	Nom du compte :		xavier
	Domaine du compte :		xavier-PC
	ID d'ouverture de session :		0x2b9cee
	GUID d'ouverture de session :		{00000000-0000-0000-0000-000000000000}

Informations sur le processus :
	ID du processus :		0x268
	Nom du processus :		C:\Windows\System32\winlogon.exe

Informations sur le réseau :
	Nom de la station de travail :	XAVIER-PC
	Adresse du réseau source :	127.0.0.1
	Port source :		0

Informations détaillées sur l'authentification :
	Processus d'ouverture de session :		User32 
	Package d'authentification :	Negotiate
	Services en transit :	-
	Nom du package (NTLM uniquement) :	-
	Longueur de la clé :		0

Cet événement est généré lors de la création d'une ouverture de session. Il est généré sur l'ordinateur sur lequel l'ouverture de session a été effectuée.

Le champ Objet indique le compte sur le système local qui a demandé l'ouverture de session. Il s'agit le plus souvent d'un service, comme le service Serveur, ou un processus local tel que Winlogon.exe ou Services.exe.

Le champ Type d'ouverture de session indique le type d'ouverture de session qui s'est produit. Les types les plus courants sont 2 (interactif) et 3 (réseau).

Le champ Nouvelle ouverture de session indique le compte pour lequel la nouvelle ouverture de session a été créée, par exemple, le compte qui s'est connecté.

Les champs relatifs au réseau indiquent la provenance d'une demande d'ouverture de session à distance. Le nom de la station de travail n'étant pas toujours disponible, peut être laissé vide dans certains cas.

Les champs relatifs aux informations d'authentification fournissent des détails sur cette demande d'ouverture de session spécifique.
	- Le GUID d'ouverture de session est un identificateur unique pouvant servir à associer cet événement à un événement KDC .
	- Les services en transit indiquent les services intermédiaires qui ont participé à cette demande d'ouverture de session.
	- Nom du package indique quel est le sous-protocole qui a été utilisé parmi les protocoles NTLM.
	- La longueur de la clé indique la longueur de la clé de session générée. Elle a la valeur 0 si aucune clé de session n'a été demandée.
Record Number: 51239
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20120306081112.021644-000
Event Type: Succès de l'audit
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=AMD64
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PSModulePath"=%SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
"NUMBER_OF_PROCESSORS"=2
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=Intel64 Family 6 Model 23 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=170a
"NTIPath"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86;C:\Program Files (x86)\EgisTec\MyWinLocker 3\x64

-----------------EOF-----------------
Logfile of random's system information tool 1.09 (written by random/random)
Run by xavier at 2012-12-31 18:58:38
Microsoft Windows 7 Édition Familiale Premium  Service Pack 1
System drive C: has 207 GB (84%) free of 244 GB
Total RAM: 4026 MB (70% free)

HijackThis download failed

======Scheduled tasks folder======

C:\Windows	asks\GoogleUpdateTaskUserS-1-5-21-2086411464-3367556648-2596856513-1001Core.job
C:\Windows	asks\GoogleUpdateTaskUserS-1-5-21-2086411464-3367556648-2596856513-1001UA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
Programme d'aide de l'Assistant de connexion Windows Live - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2009-01-22 408448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll [2012-03-01 42272]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"LManager"=C:\Program Files (x86)\Launch Manager\LManager.exe [2009-07-27 1157128]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"=C:\Program Files (x86)\RocketDock\RocketDock.exe [2007-09-02 495616]
"uTorrent"=C:\Program Files (x86)\uTorrent\uTorrent.exe  /MINIMIZED []
"Google Update"=C:\Users\xavier\AppData\Local\Google\Update\GoogleUpdate.exe [2011-10-28 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED}

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"=credssp.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\AFD]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\mcmscsvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\MCODS]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\MpfService]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\MsMpSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
etwork\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=0
"ConsentPromptBehaviorUser"=3
"EnableLUA"=0
"EnableUIADesktopToggle"=0
"PromptOnSecureDesktop"=0
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoActiveDesktop"=1
"NoActiveDesktopChanges"=1
"ForceActiveDesktopOn"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"vidc.mrle"=msrle32.dll
"vidc.msvc"=msvidc32.dll
"msacm.imaadpcm"=imaadp32.acm
"msacm.msg711"=msg711.acm
"msacm.msgsm610"=msgsm32.acm
"msacm.msadpcm"=msadp32.acm
"midimapper"=midimap.dll
"wavemapper"=msacm32.drv
"vidc.uyvy"=msyuv.dll
"vidc.yuy2"=msyuv.dll
"vidc.yvyu"=msyuv.dll
"vidc.iyuv"=iyuv_32.dll
"vidc.i420"=iyuv_32.dll
"vidc.yvu9"=tsbyuv.dll
"msacm.l3acm"=C:\Windows\SysWOW64\l3codeca.acm
"vidc.cvid"=iccvid.dll
"wave"=wdmaud.drv
"midi"=wdmaud.drv
"mixer"=wdmaud.drv
"aux"=wdmaud.drv
"msacm.siren"=sirenacm.dll
"VIDC.XVID"=xvidvfw.dll
"VIDC.YV12"=xvidvfw.dll
"msacm.ac3acm"=ac3acm.acm
"msacm.lameacm"=lameACM.acm
"VIDC.FFDS"=ff_vfw.dll

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 2 months======

2012-12-31 18:58:56 ----D---- C:\Program Files (x86)	rend micro
2012-12-31 18:58:38 ----D---- C:sit
2012-12-31 00:10:04 ----A---- C:\TDSSKiller.2.8.15.0_31.12.2012_00.10.04_log.txt
2012-12-30 17:25:34 ----A---- C:\Windows\SysWOW64\FlashPlayerApp.exe
2012-12-25 20:51:01 ----N---- C:\bootsqm.dat
2012-12-21 12:14:14 ----A---- C:\Windows\SysWOW64\atmlib.dll
2012-12-21 12:14:14 ----A---- C:\Windows\SysWOW64\atmfd.dll
2012-12-12 16:06:33 ----A---- C:\Windows\SysWOW64\mshtmled.dll
2012-12-12 16:06:32 ----A---- C:\Windows\SysWOW64\vbscript.dll
2012-12-12 16:06:32 ----A---- C:\Windows\SysWOW64\ieui.dll
2012-12-12 16:06:31 ----A---- C:\Windows\SysWOW64\url.dll
2012-12-12 16:06:31 ----A---- C:\Windows\SysWOW64\ieUnatt.exe
2012-12-12 16:06:30 ----A---- C:\Windows\SysWOW64\urlmon.dll
2012-12-12 16:06:29 ----A---- C:\Windows\SysWOW64\msfeeds.dll
2012-12-12 16:06:28 ----A---- C:\Windows\SysWOW64\wininet.dll
2012-12-12 16:06:27 ----A---- C:\Windows\SysWOW64\jscript9.dll
2012-12-12 16:06:27 ----A---- C:\Windows\SysWOW64\jscript.dll
2012-12-12 16:06:27 ----A---- C:\Windows\SysWOW64\iertutil.dll
2012-12-12 16:06:26 ----A---- C:\Windows\SysWOW64\jsproxy.dll
2012-12-12 16:06:24 ----A---- C:\Windows\SysWOW64\mshtml.dll
2012-12-12 16:06:21 ----A---- C:\Windows\SysWOW64\ieframe.dll
2012-12-12 15:25:12 ----A---- C:\Windows\SysWOW64	zres.dll
2012-12-12 15:24:50 ----A---- C:\Windows\SysWOW64\KernelBase.dll
2012-12-12 15:24:50 ----A---- C:\Windows\SysWOW64\kernel32.dll
2012-12-12 15:24:48 ----A---- C:\Windows\SysWOW64\wow32.dll
2012-12-12 15:24:48 ----A---- C:\Windows\SysWOW64\setup16.exe
2012-12-12 15:24:48 ----A---- C:\Windows\SysWOW64
tvdm64.dll
2012-12-12 15:24:46 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll
2012-12-12 15:24:46 ----A---- C:\Windows\SysWOW64\instnm.exe
2012-12-12 15:24:45 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll
2012-12-12 15:24:45 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll
2012-12-12 15:24:44 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll
2012-12-12 15:24:44 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll
2012-12-12 15:24:44 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll
2012-12-12 15:24:44 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll
2012-12-12 15:24:44 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll
2012-12-12 15:24:44 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll
2012-12-12 15:24:43 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll
2012-12-12 15:24:43 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll
2012-12-12 15:24:43 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll
2012-12-12 15:24:43 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll
2012-12-12 15:24:43 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll
2012-12-12 15:24:43 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll
2012-12-12 15:24:43 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll
2012-12-12 15:24:43 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll
2012-12-12 15:24:43 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll
2012-12-12 15:24:42 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll
2012-12-12 15:24:42 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll
2012-12-12 15:24:42 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll
2012-12-12 15:24:42 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll
2012-12-12 15:24:41 ----AH---- C:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll
2012-12-12 15:24:41 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll
2012-12-12 15:24:41 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll
2012-12-12 15:24:41 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll
2012-12-12 15:24:41 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll
2012-12-12 15:24:41 ----AH---- C:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll
2012-12-12 15:24:35 ----A---- C:\Windows\SysWOW64\user.exe
2012-12-12 15:24:21 ----A---- C:\Windows\SysWOW64\dpnet.dll
2012-12-07 13:20:32 ----D---- C:\Users\xavier\AppData\Roaming\Shareaza
2012-12-07 13:20:25 ----D---- C:\Program Files (x86)\Shareaza
2012-12-07 13:19:07 ----D---- C:\Users\xavier\AppData\Roaming\Funmoods
2012-12-07 13:18:44 ----D---- C:\ProgramData\Tarma Installer
2012-11-28 15:52:55 ----A---- C:\Windows\SysWOW64\dhcpcsvc6.dll
2012-11-28 15:52:55 ----A---- C:\Windows\SysWOW64\dhcpcore6.dll
2012-11-28 15:52:50 ----A---- C:\Windows\SysWOW64\synceng.dll
2012-11-28 15:52:32 ----A---- C:\Windows\SysWOW64
csi.dll
2012-11-28 15:52:30 ----A---- C:\Windows\SysWOW64
laapi.dll
2012-11-28 15:52:30 ----A---- C:\Windows\SysWOW64
etcorehc.dll
2012-11-28 15:52:29 ----A---- C:\Windows\SysWOW64
etevent.dll

======List of files/folders modified in the last 2 months======

2012-12-31 18:58:56 ----RD---- C:\Program Files (x86)
2012-12-31 18:56:43 ----D---- C:\Windows\Temp
2012-12-31 18:06:35 ----D---- C:\Windows
2012-12-31 11:44:23 ----D---- C:\ProgramData\Adobe
2012-12-30 17:33:22 ----D---- C:\Windows\Downloaded Program Files
2012-12-30 17:25:34 ----D---- C:\Windows\SysWOW64
2012-12-30 16:21:21 ----D---- C:\Program Files (x86)\Google
2012-12-30 16:21:20 ----SHD---- C:\Windows\Installer
2012-12-30 16:21:20 ----D---- C:\Windows\Tasks
2012-12-30 16:02:58 ----D---- C:\Program Files (x86)\Common Files\Adobe
2012-12-30 14:14:13 ----D---- C:\Program Files (x86)\Common Files
2012-12-30 13:17:29 ----D---- C:\ProgramData\eMule
2012-12-30 13:15:52 ----D---- C:\Users\xavier\AppData\Roaming\uTorrent
2012-12-30 13:09:11 ----SH---- C:\Program Files (x86)\desktop.ini
2012-12-26 10:45:16 ----D---- C:\Windows\SoftwareDistribution
2012-12-24 18:26:53 ----D---- C:\Windows\System32
2012-12-24 17:41:16 ----D---- C:\Windows\Prefetch
2012-12-24 11:04:19 ----D---- C:\Users\xavier\AppData\Roaming\Media Player Classic
2012-12-21 17:05:35 ----D---- C:\Windows\winsxs
2012-12-17 13:03:38 ----SD---- C:\ProgramData\Microsoft
2012-12-17 11:51:55 ----D---- C:\Windows\debug
2012-12-13 11:57:35 ----D---- C:\Windowsescache
2012-12-12 18:47:01 ----D---- C:\Windows\SysWOW64\fr-FR
2012-12-12 18:46:57 ----D---- C:\Windows\SysWOW64\migration
2012-12-12 18:46:57 ----D---- C:\Windows\AppPatch
2012-12-12 18:46:57 ----D---- C:\Program Files (x86)\Internet Explorer
2012-12-07 13:18:44 ----HD---- C:\ProgramData
2012-11-29 12:00:30 ----D---- C:\Windows\Microsoft.NET
2012-11-29 12:00:29 ----RSD---- C:\Windows\assembly
2012-11-29 10:54:53 ----RSD---- C:\Windows\Fonts

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 iaStor;Intel AHCI Controller; C:\Windows\system32\DRIVERS\iaStor.sys []
R0 MpFilter;Microsoft Malware Protection Driver; C:\Windows\system32\DRIVERS\MpFilter.sys []
R0 rdyboost;ReadyBoost; C:\Windows\System32\driversdyboost.sys []
R1 vwififlt;Virtual WiFi Filter Driver; C:\Windows\system32\DRIVERS\vwififlt.sys []
R2 NisDrv;Microsoft Network Inspection System; C:\Windows\system32\DRIVERS\NisDrvWFP.sys []
R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\Windows\system32\DRIVERS\Apfiltr.sys []
R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athrx.sys []
R3 DKbFltr;Dritek Keyboard Filter Driver (64-bit); C:\Windows\SysWOW64\Drivers\DKbFltr.sys [2009-03-26 25608]
R3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd64.sys []
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHD64.sys []
R3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller (NDIS 6.20); C:\Windows\system32\DRIVERS\L1C62x64.sys []
S1 zhkpbzrl;zhkpbzrl; \??\C:\Windows\system32\drivers\zhkpbzrl.sys []
S3 BCM43XX;Broadcom 802.11 Network Adapter Driver; C:\Windows\system32\DRIVERS\bcmwl664.sys []
S3 nmwcdcx64;Nokia USB Generic; C:\Windows\system32\drivers\ccdcmbox64.sys []
S3 nmwcdnsucx64;Nokia USB Flashing Generic; C:\Windows\system32\drivers
mwcdnsucx64.sys []
S3 nmwcdnsux64;Nokia USB Flashing Phone Parent; C:\Windows\system32\drivers
mwcdnsux64.sys []
S3 nmwcdx64;Nokia USB Phone Parent; C:\Windows\system32\drivers\ccdcmbx64.sys []
S3 pciide;pciide; C:\Windows\system32\drivers\pciide.sys []
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader; C:\Windows\System32\Drivers\RtsUStor.sys [2009-09-02 225280]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM); C:\Windows\system32\DRIVERS\ss_bbus.sys []
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter); C:\Windows\system32\DRIVERS\ss_bmdfl.sys []
S3 ss_bmdm;SAMSUNG USB Mobile Modem; C:\Windows\system32\DRIVERS\ss_bmdm.sys []
S3 ss_bserd;SAMSUNG USB Mobile Logging Driver; C:\Windows\system32\DRIVERS\ss_bserd.sys []
S3 TsUsbFlt;TsUsbFlt; C:\Windows\system32\drivers	susbflt.sys []
S3 upperdev;upperdev; C:\Windows\system32\DRIVERS\usbser_lowerfltx64.sys []
S3 usbser;USB Modem Driver; C:\Windows\system32\drivers\usbser.sys []
S3 UsbserFilt;UsbserFilt; C:\Windows\system32\DRIVERS\usbser_lowerfltx64j.sys []
S3 WinUsb;WinUsb; C:\Windows\system32\DRIVERS\WinUsb.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 MsMpSvc;Microsoft Antimalware Service; c:\Program Files\Microsoft Security Client\MsMpEng.exe [2012-09-12 22072]
R3 NisSrv;@c:\Program Files\Microsoft Security Client\MpAsDesc.dll,-243; c:\Program Files\Microsoft Security Client\NisSrv.exe [2012-09-12 368896]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86; C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
S2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe [2009-10-13 354840]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-12-31 250808]
S3 gusvc;Google Updater Service; C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe [2011-02-08 136120]
S3 WatAdminSvc;@%SystemRoot%\system32\Wat\WatUX.exe,-601; C:\Windows\system32\Wat\WatAdminSvc.exe []

-----------------EOF-----------------

D'avance merci
Vincent






Configuration: Windows 7 / Internet Explorer 9.0

buckhulk · Accepted Answer

salut et bonne année ! déjà tu va commencer par désinstaller flash player et le réinstaller ICI ensuite faire un ZHPDiag , suis bien les instructions : ATTENTION : Si ton Antivirus est Avast, désactive la sandbox sinon l'analyse risque d'être faussées. Voici comment faire : ICI ne pas oublier de la réactiver en fin de désinfection 1) * Télécharge ZHPDiag (de Nicolas coolman) sur ton bureau !! >> ZHPDiag (de Nicolas coolman) Si ton système d'exploitation est Vista ou Win7, lance les logiciels par simple clic droit et choisis "exécuter en tant qu'administrateur" a) * Une fois le téléchargement achevé, b) * double clique (ou clic droit pour seven , vista et 8 exécuter en tant qu'administrateur<:ital>) sur ZHPDiag.exe et suis les instructions. c)* L'outil va créer 3 icônes de racourcis : ZHPDiag >> ZHPFix >>MBRcheck N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 2) * Fais un clic droit sur le logo de ZHPDiag.exe,en forme de parchemin qui se trouve sur ton bureau « exécuter en tant qu'Administrateur 3) * Clique sur Options >> a] * Clique sur Tous 4) * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») * Important >> Pendant l analyse de ton PC par ZHPDIag ne touche à plus rien !!!!! 5) * Le rapport s'affiche sur ton Bureau une fois terminé ! les rapports étant trop long, les héberger : Rappel des dépôts 1 cijoint 2 pjoint 3 up2share 4 FEC

earlyshovel · Answer

merci pour ta réponse rapide buckhulk , voila les résultats du scan ZHPdiag :
 http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130101_m7r13l15m5b7

buckhulk · Answer

désinstalle dejà Spybot : ICI sinon les P2P sont vecteurs de virus ! (bitcomet , Azurus , etc..) à désactiver ! passe AdwCleaner : AdwCleaner : Logiciel très simple d'utilisation 1 - Téléchargez AdwCleaner et lance son exécution. >>>ICI<<< 2 - L'interface du programme va s'ouvrir. Cliques sur le bouton Recherche afin de lancer la détection, celle-ci ne prendra que quelques secondes, patientes. Le rapport est automatiquement enregistré à la racine de votre disque dur principal, en général C: (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 3 - Avant de faire la suppression poste le rapport au cas ou il y ai des faux positifs ! 4 - Fermes le rapport puis cliques sur le bouton Suppression 5 - Dès la suppression effective, le logiciel demande de redémarrer l'ordinateur, cliques sur Ok. et ensuite Mbam : - 1 Télécharge MalwareByte's ICI - 2 Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe. - 3 Une fois l'installation et la mise à jour effectuées : Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet". - 4 Afin de lancer la recherche, clic sur"Rechercher". - 5 Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. - a Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le. - b Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". - 6 Enregistre le rapport sur ton Bureau.(pour me l'envoyer après ton redémarrage) (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) Redémarres ton ordinateur normalement et poste le rapport dans ta prochaine réponse. REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Normalement après cela devrait déjà aller mieux !

earlyshovel · Answer

Re buckhulck , je n'ai pas trouvé spybot sur le pc de mon pote ;.? 
pour les p2p je pensais les avoir déjà  supp avant de poster ... mais tout ça doit encore apparaitre sur les scans ??
voila le rapport de ADWcleaner :
 http://pjjoint.malekal.com/files.php?id=20130101_i12q8i7j8o8
pour Mbam il était déjà sur le pc avt ta réponse et attendant ta réponse j'avais lancé un scan complet ... qui à duré presque 6 H .... !!! sans aucun problème détecté ... 
 donc est ce que l'ordre des 2 scans est important ou pas ? ?
car j'ai redémarré 2 fois le pc après ces 2 scans et il semble encore très lent par moment ... et surtout le son sur des vidéos de youtube ou radio en ligne "fige"  environ toutes les 10-15 sec
merci buckhulck de prendre tout ce temps pour aider mon pote à retrouver un ordi qui "tourne" bien ... car il est bloké chez lui suite à grosse opé à l'hosto ...

buckhulk · Answer

car il est bloké chez lui suite à grosse opé à l'hosto ... je sais je suis passé par là !
pour le scan de Mbam , est-ce que tu l'as mis à jour avant de lancer la recherche , il faut vider la quarantaine aussi ! la nouvelle version est bleue , et plus rouge !
pour AdwCleaner , oui il faut passer à la suppression !
et dsl du retard , la famille.......!!

earlyshovel · Answer

le Mbam est bleue version de la base de donnée : V2012 12 31.07 , j'ai vidé la quarantaine .. j'ai aussi fais la suppression sur Adwcleaner ... mais l'ordi est tjr super lent ...

buckhulk · Answer

ok bon passe Ad-Remover stp :
AD-Remover n'est plus mis à jour mais cela n'empêche pas de l'utiliser, donc voici donc le tutoriel :
- Ferme toutes les applications en cours. 
- Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Télécharge de AD-Remover sur ton Bureau. >>> AD-Remover
Execute le :
A - Sous Windows XP, double-cliques sur l'exécutable pour lancer l'installation. Sous Vista et Windows 7, fais un clic droit et choisis : Exécuter en tant qu'administrateur.
B - Clique sur le bouton « Scanner »
C - Le rapport s'ouvrira dans le bloc-note.
(CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)

ou
Si ton rapport est trop long héberge le sur : https://www.cjoint.com/
clique sur choisir un fichier (cherche le rapport) et clique sur créer le lien ! 
D - Poste le rapport ou le lien créé !

Attention il peut y avoir des faux positifs, d'ou la nécessité de poster le rapport
a - Si tu es sûr de toi, passes à la suite. Cliques sur Quitter. 
b - Redemarre AD-Remover Cliques sur Nettoyer puis sur Oui pour confirmer. 
c - A la fin du nettoyage, redémarres l'ordinateur en cliquant sur Oui. 
d - Pour désinstaller Ad-Remover, relance leet double-cliques sur Ad-R.exe et choisis Désinstaller. 

ensuite ,tu me refais un ZHPDIag s'il te plait !

earlyshovel · Answer

voila le lien du scan AD remover :http://cjoint.com/13jv/CAcousQ2C5M.htm
autrement il s'est passé des trucs étonnants ...
le gestionnaire de litige annoncait un probleme avec google earth et demandait une MaJ alors que je l'avais supprimmé , je fais la MaJ ou plutot instalation et là :miracle le PC tornait normaleement !!! je fais un redemmarage du PC et retour :il tourne encore au ralentit ... de plus j'ai téléchargé 2 fois AD remover et il est introuvable sur le pc ... la 2eme fois l'icone était sur le bureau est dès que je l'ai démmaré pour refaire un scan et nettoyer il a disparu ..??
je dois bouger et je vais lancer un scan ZHPDiag , je te le transmets dès mon retour
encore merci

earlyshovel · Answer

voila le scan de ZHP ça a été rapide : http://cjoint.com/13jv/CAco1nkcCmI.htm

buckhulk · Answer

1/ Tu vas créer un point de restauration pour commencer : indications à suivre

2/ Tu as beaucoup trop de logiciel P2P (9) , il faut que tu les supprimes,surtout qu'il sont au démarrage de Windows !
d'ailleurs il faudrait que tu désactives quelques programmes au démarrage ! (ceux dont tu ne te sers que très peu !)
P2P = virus !

3/ Tu désactives Windows defender : ICI

4/ Ensuite tu repasses AdwCleaner pour voir s'il supprime les toolbars qu'il reste !

5/ Après et seulement après , tu me refais un ZHPDiag  pour que je te fasse un script pour supprimer les restes !

earlyshovel · Answer

je ne comprends pas ;;; quand mon pote m'a déposé son PC j'ai tout de suite viré 3 prog de P2P car je sais que c'est ça qui pose problème la pluspart du temps ;et tu me dis qu'il en reste 9 ??? quand je vais sur démarrer puis tous les programmes je n'en vois aucun ? même chose pour spybot que tu me demandais de virer je ne le vois pas non plus ... tout comme AD remover que j'ai pourtant executé 2 fois ,il n'est pas visible ?

buckhulk · Answer

je n'y peux rien , sur le log que tu m'as donné ils sont présents !
regarde : ICI 
juste en dessous tu vois aussi Windows Defender !
si je te dis qu'il y a Spybot c'est qu'il est présent !
Ad-Remover  pas vu ! AdwCleaner oui ! 
il faut que tu suives mes instructions , sinon on n'y arrivera pas !

earlyshovel · Answer

le probleme reste le même je ne trouve pas non plus windows defendeur ,quand je fais :demarrer puis tous les programmes il n'est pas dans la liste ...
pareil quand je fais panneau de configuration puis désinstaller un programme il n'y a aucune trace des log de P2P ni  spybot 
est il possible que ces programmes soient encore sur le PC et pas visible dans ces listes ?

earlyshovel · Answer

voilà c'est fait , les rapports :
ZHP  http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130103_c12q13s5f8f15
Delfix search  http://pjjoint.malekal.com/files.php?id=20130103_11g11r15n9m7
Delfix sup   http://pjjoint.malekal.com/files.php?id=20130103_f135i6t10l10 
merci et a demain v

earlyshovel · Answer

Alors la "tempête" ?? pas trop de casse chez toi ?

buckhulk · Answer

bon OK met à jour java  :
Logiciel: Java(TM) 6 Update 22 et Logiciel: Java(TM) 6 Update 31  alors que l'on est à la version 7.10
java c'est ICI
Supprimer les anciennes versions
Je te prépare un script !

buckhulk · Answer

donc une fois que tu as fait cela :
Script
Ce script va cibler certains éléments à supprimer :

* Copie les lignes suivantes :


R3 - URLSearchHook: (no name) [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (.Microsoft Corporation - Navigateur Internet.) (No version) -- (.not file.)
O4 - HKCU\..\Run: [uTorrent] C:\Program Files (x86)\uTorrent\uTorrent.exe (.not file.) 
O4 - HKUS\S-1-5-21-2086411464-3367556648-2596856513-1001\..\Run: [uTorrent] C:\Program Files (x86)\uTorrent\uTorrent.exe (.not file.) 
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2086411464-3367556648-2596856513-1001Core.job
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2086411464-3367556648-2596856513-1001UA.job
[MD5.00000000000000000000000000000000] [APT] [Funmoods] (...) -- C:\Users\xavier\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{44DD4E71-7759-4355-99D9-3B1EF73FFA9E}] (...) -- C:\Users\xavier\Music\LimeWire\LimeWire.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{4D7AE497-3DEB-4709-8408-F7239C8923A6}] (...) -- C:\Users\xavier\Downloads\TuneUp\TuneUpPortable.exe (.not file.)
[HKCU\Software\MGS]
O43 - CFD: 30/12/2012 - 13:17:29 - [0] ----D C:\ProgramData\eMule
O43 - CFD: 19/11/2010 - 22:27:34 - [267,191] ----D C:\ProgramData\MGS
O43 - CFD: 07/01/2011 - 19:28:10 - [1,545] ----D C:\Users\xavier\AppData\Roaming\FrostWire
O43 - CFD: 30/12/2012 - 13:20:41 - [0,094] ----D C:\Users\xavier\AppData\Roaming\Shareaza
O43 - CFD: 30/12/2012 - 13:15:52 - [12,376] ----D C:\Users\xavier\AppData\Roaming\uTorrent
O43 - CFD: 31/12/2012 - 19:51:09 - [0] ----D C:\Users\xavier\AppData\Local\Programs
O43 - CFD: 07/12/2012 - 13:20:51 - [0] ----D C:\Users\xavier\AppData\Local\Shareaza
O43 - CFD: 21/11/2011 - 14:15:54 - [0] ----D C:\Users\xavier\AppData\Local\uTorrent
O53 - SMSR:HKLM\...\startupreg\uTorrent  [Key] . (...) -- C:\Program Files (x86)\uTorrent\uTorrent.exe (.not file.)
[MD5.62B7C506B092D460898F3296DA94B728] [SPRF][18/07/2009] (.Oberon Media - FullRemove.) -- C:\ProgramData\FullRemove.exe   [36136]
O87 - FAEL: "TCP Query User{E3C9B6CD-0254-4EB5-AB46-F46EF52B55A9}C:\program files (x86)\emule\emule.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "UDP Query User{E8FB67E4-F00C-45C8-A0CD-06B8A7403F5C}C:\program files (x86)\emule\emule.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "TCP Query User{C8F47084-6A1A-4C9D-A5E7-DF630702781E}C:\program files (x86)\emule\emule.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "UDP Query User{5B7AC27B-502A-4976-9DD5-0C21AB4CB69B}C:\program files (x86)\emule\emule.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "{B86EC5B2-00AF-425B-A6E4-B6C369D745AA}" |In - None - P6 - TRUE | .(...) -- C:\Program Files (x86)\uTorrent\uTorrent.exe (.not file.)
O87 - FAEL: "{25CFCE78-9D03-4EFF-AA1D-E5D4A6B3ACCA}" |In - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\uTorrent\uTorrent.exe (.not file.)
O87 - FAEL: "{8E9636C5-718A-4CD5-9022-0387B558F679}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\Shareaza\Shareaza.exe (.not file.)
O87 - FAEL: "{7923661F-EA7D-454D-A87D-0621CD531395}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\Shareaza\Shareaza.exe (.not file.)
O87 - FAEL: "{FFA4E8CD-2D83-4ECD-AA59-0ACCA961ADFC}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\Shareaza\Shareaza.exe (.not file.)
O87 - FAEL: "{0CFD96CD-342B-4AE1-9218-ACBA8398EF82}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\Shareaza\Shareaza.exe (.not file.)



* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.
* Clique sur le bouton « GO » pour lancer le nettoyage.
* Copie/colle la totalité du rapport dans ta prochaine réponse.

earlyshovel · Answer

bjr buckhulk 
voila le rapport de ZHPfix :
 http://pjjoint.malekal.com/files.php?id=20130104_j8l15p10b11i15

buckhulk · Answer

ok tu me refais un ZHPDiag stp que je puisse vérifier !
ne te trompe pas de rapport quand tu me donneras le lien !
merci

earlyshovel · Answer

voila le rapport de zhpdiag :  http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130105_b11d11b8q59
depuis la MaJ de java le PC est encore plus lent ...

buckhulk · Answer

tu peux toujours (re)passer ce script : 
Script
Ce script va cibler certains éléments à supprimer :

* Copie les lignes suivantes :


G1 - GCS: Preference [User Data\Default] None
OPT:O4 - HKLM\..\Wow6432Node\Run: [LManager] . (.Dritek System Inc. - Launch Manager.) -- C:\Program Files (x86)\Launch Manager\LManager.exe 
[MD5.00000000000000000000000000000000] [APT] [Funmoods] (...) -- C:\Users\xavier\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{44DD4E71-7759-4355-99D9-3B1EF73FFA9E}] (...) -- C:\Users\xavier\Music\LimeWire\LimeWire.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{4D7AE497-3DEB-4709-8408-F7239C8923A6}] (...) -- C:\Users\xavier\Downloads\TuneUp\TuneUpPortable.exe (.not file.)
O41 - Driver: (zhkpbzrl) . (. - .) - C:\Windows\system32\drivers\zhkpbzrl.sys (.not file.)
O87 - FAEL: "TCP Query User{E3C9B6CD-0254-4EB5-AB46-F46EF52B55A9}C:\program files (x86)\emule\emule.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "UDP Query User{E8FB67E4-F00C-45C8-A0CD-06B8A7403F5C}C:\program files (x86)\emule\emule.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "TCP Query User{C8F47084-6A1A-4C9D-A5E7-DF630702781E}C:\program files (x86)\emule\emule.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
O87 - FAEL: "UDP Query User{5B7AC27B-502A-4976-9DD5-0C21AB4CB69B}C:\program files (x86)\emule\emule.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files (x86)\emule\emule.exe (.not file.)
EmptyTemp 
EmptyFlash 
EmptyCLSID 
FirewallRAZ 


* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes.
* Clique sur le bouton « GO » pour lancer le nettoyage.
* Copie/colle la totalité du rapport dans ta prochaine réponse.



  
On ne connait la valeur d'une chose , que lorsqu'on l'a perdue !! 
Les questions montrent l'étendue de l'esprit , les réponses , sa finesse  
il n'y a pas d'âge pour arrêter d'apprendre

Djendoe · Answer

Je sais que le sujet est ancien enfin pour ce post précis mais j'ai eu le même problème récemment. J'ai fait un nettoyage avec Malwarebytes, en mode sans échec, protection système décoché et tout et tout, ça peut pas faire de mal. Mais le problème a persisté. 
Ce que je peux dire pour les utilisateurs de chrome c'est de vérifier dans les outils de chrome que vous n'avez aucun plugin dans les extensions : personnaliser et contrôler Google Chrome(à droite de la barre d'adresse bouton avec les lignes noires) -> Outils -> Extensions.
Si Plugins apparaît dans les extensions mettez-les dans la poubelle à droite.
Pour moi ça a résolu le problème. Plus d'invitations à la c.... à télécharger des trucs de m....
Voilà

Virus suite MaJ adobe flash player ??

22 réponses

Discussions similaires