Infection par le virus System Progressive Protection

Résolu
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention   -  
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Mon ordinateur vient d'être infecté par le virus System progressive protection. J'ai heureusement pu télécharger RogueKiller, mais n'étant pas très douée en informatique, j'aurais besoin d'aide pour éradiquer le virus. Voici le rapport obtenu après scan.

Merci beaucoup par avance.

RogueKiller V8.4.3 [Jan 10 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Sumimi [Droits d'admin]
Mode : Recherche -- Date : 11/01/2013 02:55:40

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 11 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : TransBar (C:\Users\Sumimi\AppData\Local\AKSoftware\TransBar\TransBar.exe /s) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : EPSON SX110 Series (C:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\windows\TEMP\E_SCFEC.tmp" /EF "HKCU") -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-3132396592-814543301-853478908-1000[...]\Run : TransBar (C:\Users\Sumimi\AppData\Local\AKSoftware\TransBar\TransBar.exe /s) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-3132396592-814543301-853478908-1000[...]\Run : EPSON SX110 Series (C:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\windows\TEMP\E_SCFEC.tmp" /EF "HKCU") -> TROUVÉ
[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 96C533F2A1AE0276000096C49D34087A (C:\ProgramData\96C533F2A1AE0276000096C49D34087A\96C533F2A1AE0276000096C49D34087A.exe) -> TROUVÉ
[RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-3132396592-814543301-853478908-1000[...]\RunOnce : 96C533F2A1AE0276000096C49D34087A (C:\ProgramData\96C533F2A1AE0276000096C49D34087A\96C533F2A1AE0276000096C49D34087A.exe) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> TROUVÉ
[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n --> TROUVÉ
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\n --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\@ --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\L --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x81E2C06D -> HOOKED (Unknown @ 0x8A088076)
SSDT[299] : NtRequestWaitReplyPort @ 0x81E46A63 -> HOOKED (Unknown @ 0x8A088080)
SSDT[316] : NtSetContextThread @ 0x81EE6745 -> HOOKED (Unknown @ 0x8A08807B)
SSDT[347] : NtSetSecurityObject @ 0x81E0A742 -> HOOKED (Unknown @ 0x8A088085)
SSDT[368] : NtSystemDebugControl @ 0x81E8E6BC -> HOOKED (Unknown @ 0x8A08808A)
SSDT[370] : NtTerminateProcess @ 0x81E63BFB -> HOOKED (Unknown @ 0x8A088017)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A08809E)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8A0880A3)

¤¤¤ Infection : ZeroAccess|Rogue.AntiSpy-ST ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250315AS +++++
--- User ---
[MBR] 54454208b7efa8d1779b706d915d20e2
[BSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo
1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 120694 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 20 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_11012013_025540.txt >>
RKreport[1]_S_11012013_025540.txt




A voir également:

42 réponses

Réponse 1 / 42
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonjour,
Zeroaccess!!
------------------------
Relance RogueKiller puis choisis : "Suppression" et poste

le rapport stp
0
Réponse 2 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour merci de m'aider, voici le 2e rapport:

RogueKiller V8.4.3 [Jan 10 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Sumimi [Droits d'admin]
Mode : Suppression -- Date : 11/01/2013 08:38:09

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : TransBar (C:\Users\Sumimi\AppData\Local\AKSoftware\TransBar\TransBar.exe /s) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : EPSON SX110 Series (C:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\windows\TEMP\E_SCFEC.tmp" /EF "HKCU") -> SUPPRIMÉ
[RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 96C533F2A1AE0276000096C49D34087A (C:\ProgramData\96C533F2A1AE0276000096C49D34087A\96C533F2A1AE0276000096C49D34087A.exe) -> SUPPRIMÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> REMPLACÉ (C:\windows\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> REMPLACÉ (C:\windows\system32\wbem\fastprox.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\n --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\@ --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\@ --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U\00000001.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U\80000000.@ --> SUPPRIMÉ
[Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U\800000cb.@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\L --> SUPPRIMÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x81E2C06D -> HOOKED (Unknown @ 0x8A088076)
SSDT[299] : NtRequestWaitReplyPort @ 0x81E46A63 -> HOOKED (Unknown @ 0x8A088080)
SSDT[316] : NtSetContextThread @ 0x81EE6745 -> HOOKED (Unknown @ 0x8A08807B)
SSDT[347] : NtSetSecurityObject @ 0x81E0A742 -> HOOKED (Unknown @ 0x8A088085)
SSDT[368] : NtSystemDebugControl @ 0x81E8E6BC -> HOOKED (Unknown @ 0x8A08808A)
SSDT[370] : NtTerminateProcess @ 0x81E63BFB -> HOOKED (Unknown @ 0x8A088017)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A08809E)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8A0880A3)

¤¤¤ Infection : ZeroAccess|Rogue.AntiSpy-ST ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250315AS +++++
--- User ---
[MBR] 54454208b7efa8d1779b706d915d20e2
[BSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo
1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 120694 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 20 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_11012013_083809.txt >>
RKreport[1]_S_11012013_025540.txt ; RKreport[2]_D_11012013_083809.txt
0
Réponse 3 / 42
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonjour,
/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Installe-le puis configure-le comme indiqué : <<< ICI >>>
* si tu n'as rien modifié fais directement quitter sinon enregistrer
* Lance Malwarebytes' Anti-Malware

=================================
Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

==> Ce logiciel gratuit est à garder.

=================================

* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

* Copie/colle le rapport dans le prochain message

Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.
0
Réponse 4 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Voici le rapport de Malewarebytes:

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Sumimi :: SUMIMI-PC [administrateur]

Protection: Activé

11/01/2013 14:22:25
mbam-log-2013-01-11 (14-22-25).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 316953
Temps écoulé: 2 heure(s), 55 minute(s), 44 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\Sumimi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 7
C:\ProgramData\96C533F2A1AE0276000096C49D34087A\96C533F2A1AE0276000096C49D34087A.exe (Trojan.Lameshield.124) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Local\Temp\msimg32.dll (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Local\Temp\139D4QVP.exe (Trojan.Agent.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Local\Temp\8A53.tmp (Trojan.Lameshield.124) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Local\Temp\~!#3092.tmp (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\Desktop\RK_Quarantine\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.

(fin)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Il était accompagné de ce rapport-ci:

2013/01/11 14:13:40 +0100 SUMIMI-PC Sumimi MESSAGE Executing scheduled update: Daily
2013/01/11 14:13:53 +0100 SUMIMI-PC Sumimi MESSAGE Starting protection
2013/01/11 14:13:53 +0100 SUMIMI-PC Sumimi MESSAGE Protection started successfully
2013/01/11 14:13:53 +0100 SUMIMI-PC Sumimi MESSAGE Starting IP protection
2013/01/11 14:13:53 +0100 SUMIMI-PC Sumimi ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2013/01/11 14:17:13 +0100 SUMIMI-PC Sumimi MESSAGE Starting database refresh
2013/01/11 14:17:27 +0100 SUMIMI-PC Sumimi MESSAGE Scheduled update executed successfully: database updated from version v2012.12.14.11 to version v2013.01.11.08
2013/01/11 14:17:46 +0100 SUMIMI-PC Sumimi MESSAGE Database refreshed successfully
2013/01/11 17:25:08 +0100 SUMIMI-PC (null) MESSAGE Starting protection
2013/01/11 17:25:08 +0100 SUMIMI-PC (null) MESSAGE Protection started successfully
2013/01/11 17:25:08 +0100 SUMIMI-PC (null) MESSAGE Starting IP protection
2013/01/11 17:25:08 +0100 SUMIMI-PC (null) ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
0
Réponse 6 / 42
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonsoir,
1/
Relance RogueKiller puis poste le rapport de "recherche"

2/
* Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Personnalisation, copie-colle le texte en gras ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c


* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le lien pjjoint ici ensuite pour pouvoir être consultés.

¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Réponse 7 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir, voici le lien.
https://pjjoint.malekal.com/files.php?id=20130111_o13c15c15v13o12

Par contre je n'avais pas vu le 1/ du coup je relance RogueKiller.

Faut-il faire un autre lien pour Extras?

Merci.
0
Réponse 8 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà le 3e rapport de RogueKiller. Il y a toujours Zero access

RogueKiller V8.4.3 [Jan 10 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Sumimi [Droits d'admin]
Mode : Recherche -- Date : 11/01/2013 20:14:00

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x81E6806D -> HOOKED (Unknown @ 0x892C8EF6)
SSDT[299] : NtRequestWaitReplyPort @ 0x81E82A63 -> HOOKED (Unknown @ 0x892C8F00)
SSDT[316] : NtSetContextThread @ 0x81F22745 -> HOOKED (Unknown @ 0x892C8EFB)
SSDT[347] : NtSetSecurityObject @ 0x81E46742 -> HOOKED (Unknown @ 0x892C8F05)
SSDT[368] : NtSystemDebugControl @ 0x81ECA6BC -> HOOKED (Unknown @ 0x892C8F0A)
SSDT[370] : NtTerminateProcess @ 0x81E9FBFB -> HOOKED (Unknown @ 0x892C8E97)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x892C8F1E)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x892C8F23)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9250315AS +++++
--- User ---
[MBR] 54454208b7efa8d1779b706d915d20e2
[BSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo
1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 120694 Mo
3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 20 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_S_11012013_201400.txt >>
RKreport[1]_S_11012013_025540.txt ; RKreport[2]_D_11012013_083809.txt ; RKreport[3]_S_11012013_201400.txt
0
Réponse 9 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
J'avais fait cette manipulation sur un autre ordinateur (windows xp), mais depuis il affiche "windows xp edition familiale" au démarrage, alors qu'il affichait directement "démarrage" auparavant et agit parfois comme s'il était en mode sans échec lorsque je veux lancer certains programmes ou les supprimer.

Je crains que ça ne fasse la même chose sur cet ordinateur

Et le fait que mon ordinateur actuel soit un windows 7 starter (avec des fonctionnalités limitées par rapport au windows 7) ne change rien?
0
Réponse 10 / 42
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
D'accord!
------------------------
1/
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:OTL
IE - HKU\S-1-5-21-3132396592-814543301-853478908-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-4&o=APN10264&locale=fr_FR&apn_uid=caf505cf-bbe8-4d99-8fae-7b7e37dbb6b6&apn_ptnrs=%5EAGV&apn_sauid=ABC21F01-D72A-4ECB-89D5-F3CFE8B08E2F&apn_dtid=%5EYYYYYY%5EYY%5EFR&&q="
[2012/11/29 13:17:00 | 000,000,000 | ---D | M] (Avira SearchFree Toolbar plus Web Protection) -- C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions\toolbar@ask.com
[2012/11/29 13:17:00 | 000,002,344 | ---- | M] () -- C:\Users\Sumimi\AppData\Roaming\mozilla\firefox\profiles\uf2wj1qz.default\searchplugins\askcom.xml


:Files
C:\ProgramData\96C533F2A1AE0276000096C49D34087A
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:2F370DA6
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:107F17EB
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:3780BCC3
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:59D05D9A

:Commands
[purity]
[emptytemp]
[Reboot]




* Clique sur le bouton Correction.
* Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
* Accepte en cliquant sur OK.
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

2/
Démarrage en Mode sans échec avec prise en charge réseau :
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau
puis tape entrée.
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
(Si F8 ne marche pas utilise la touche F5)
----------------------
Dans ce mode relance RogueKiller puis choisis "Suppression" ensuite relance mbam, supprime tous ce qu'il trouve puis poste le rapport

3/
Redémarre ton PC en mode normal puis fais ceci :
Télécharger AntiZeroAccess sur le bureau
* Double-cliquez dessus pour l'exécuter (Si vous utilisez Vista ou Windows 7, faites un clic droit dessus et sélectionnez "Exécuter en tant qu'administrateur")
* Tapez y et appuyez sur Entrée pour lancer le scan
* Si un redémarrage est nécessaire, le faire immédiatement.
* Poster le rapport AntiZeroAccess_Log.txt sur le forum.
* Ce fichier est enregistré dans le même emplacement que le programme AntiZeroAccess.

A demain

Bonne nuit!


¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Réponse 11 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Merci pour toutes ces instructions, mais du coup c'est à faire après Combofix? Ou à la place?

A demain, bonne soirée.
0
Réponse 12 / 42
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Bonjour,

Ce n'est pas la peine de lancer combofix pour le moment!

@+
0
Réponse 13 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,

Voici le rapport OTL de la correction:

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3132396592-814543301-853478908-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ deleted successfully.
C:\Program Files\Ask.com\GenericAskToolbar.dll moved successfully.
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "http://www.search.ask.com/?o=10148&l=dis" removed from keyword.URL
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions\toolbar@ask.com\searchplugins folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions\toolbar@ask.com\plugins folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions\toolbar@ask.com\defaults\preferences folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions\toolbar@ask.com\defaults folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions\toolbar@ask.com\chrome\skin folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions\toolbar@ask.com\chrome\content folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions\toolbar@ask.com\chrome folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions\toolbar@ask.com folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\firefox\profiles\uf2wj1qz.default\searchplugins\askcom.xml moved successfully.
========== FILES ==========
C:\ProgramData\96C533F2A1AE0276000096C49D34087A folder moved successfully.
ADS C:\ProgramData\TEMP:2F370DA6 deleted successfully.
ADS C:\ProgramData\TEMP:107F17EB deleted successfully.
ADS C:\ProgramData\TEMP:3780BCC3 deleted successfully.
ADS C:\ProgramData\TEMP:59D05D9A deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56825 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Sumimi
->Temp folder emptied: 4064779 bytes
->Temporary Internet Files folder emptied: 82472251 bytes
->Java cache emptied: 110558 bytes
->FireFox cache emptied: 92460540 bytes
->Flash cache emptied: 60941 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 17262754 bytes
RecycleBin emptied: 4481176 bytes

Total Files Cleaned = 192.00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 01122013_100605

Files\Folders moved on Reboot...
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\01[1].htm not found!
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\28719-2[1].htm not found!
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\affich-26876886-infection-par-le-virus-system-progressive-protection[2].htm moved successfully.
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\afr[1].htm not found!
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\like[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\pd[3].htm moved successfully.
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\38968-2[1].htm not found!
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\ads[6].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\ads[7].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\ads[8].htm moved successfully.
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\afr[1].htm not found!
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\afr[2].htm not found!
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\chartes-ethiques-et-inspection-du-travail_48409F0E-E224-4A34-91B3-814F8E7C8B21[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\uid[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\xd_arbiter[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\fastbutton[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\fastbutton[2].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\search[5].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\si[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\si[3].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\tutorial-otl[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\tweet_button.1357735024[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\xd_arbiter[2].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\zrt_lookup[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MT29195J\like[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MT29195J\request_content[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MT29195J\search[5].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully.
C:\windows\temp\HS.log moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
Réponse 14 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Et voilà le rapport MBAM:

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.11.08

Windows 7 Service Pack 1 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Sumimi :: SUMIMI-PC [administrateur]

Protection: Désactivé

12/01/2013 10:34:22
mbam-log-2013-01-12 (10-34-22).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 311837
Temps écoulé: 55 minute(s), 13 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Réponse 15 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Et le rapport antizeroaccess:

Webroot AntiZeroAccess 0.8 Log File
Execution time: 12/01/2013 - 11:46
Host operation System: Windows Seven X86 version 6.1.7601 Service Pack 1
Webroot AntiZeroAccess 0.8 Log File
Execution time: 12/01/2013 - 11:49
Host operation System: Windows Seven X86 version 6.1.7601 Service Pack 1
11:49:51 - CheckSystem - Begin to check system...
11:49:51 - OpenRootDrive - Opening system root volume and physical drive....
11:49:51 - C Root Drive: Disk number: 0 Start sector: 0x00000800 Partition Size: 0x0C800000 sectors.
11:49:51 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".
11:49:52 - InstallAndStartDriver - Main driver was installed and now is running.
11:49:52 - CheckSystem - Disk class driver state is OK.
11:50:10 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
11:50:10 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
11:50:10 - Execution Ended!
0
Réponse 16 / 42
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
D'accord!
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
0
Réponse 17 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà le rapport:

# AdwCleaner v2.105 - Rapport créé le 12/01/2013 à 12:39:37
# Mis à jour le 08/01/2013 par Xplode
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)
# Nom d'utilisateur : Sumimi - SUMIMI-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Sumimi\Desktop\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Ask.com
Dossier Supprimé : C:\ProgramData\Trymedia
Dossier Supprimé : C:\Users\Sumimi\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Fichier Supprimé : C:\Users\Public\Desktop\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\APN
Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\APN
Clé Supprimée : HKLM\Software\AskToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\120DFADEB50841F408F04D2A278F9509
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fbb1f81051744ac8311578809b9de657
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v18.0 (fr)

Fichier : C:\Users\Sumimi\AppData\Roaming\Mozilla\Firefox\Profiles\uf2wj1qz.default\prefs.js

Supprimée : user_pref("extensions.asktb.ff-original-keyword-url", "");
Supprimée : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-4&o=APN10264&loc[...]

*************************

AdwCleaner[S1].txt - [7138 octets] - [12/01/2013 12:39:37]

########## EOF - C:\AdwCleaner[S1].txt - [7198 octets] ##########
0
Réponse 18 / 42
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
Il me faut un nouveau rapport OTL : https://forums.commentcamarche.net/forum/affich-26876886-infection-par-le-virus-system-progressive-protection#6


0
Réponse 19 / 42
Ptitkoulibiac Messages postés 86 Date d'inscription   Statut Membre Dernière intervention  
 
Et voici le rapport OTL:

https://pjjoint.malekal.com/files.php?id=20130112_u8d146i6t13
0
Réponse 20 / 42
Fish66 Messages postés 17505 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 318
 
1/
Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:OTL
[2012/01/06 00:00:04 | 000,000,000 | ---D | M] -- C:\Users\Sumimi\AppData\Roaming\F-Secure
[2010/06/24 17:10:26 | 000,131,984 | ---- | C] () -- C:\ProgramData\FullRemove.exe
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.





* Clique sur le bouton Correction.
* Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
* Accepte en cliquant sur OK.
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

2/
* Télécharge Adobe reader à partir :>>>>Ce lien<<<< en décochant la case : installer McAfee Security Scan Plus (facultatif)
* Désinstalle ta version d'adobe par : ajout/suppression de programme
* Exécute le fichier téléchargé pour installation en suivant les instructions.

3/
Lance ton antivirus Avira puis poste le rapport stp!

@+


¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0

Discussions similaires

Rétrodiffusion "Mail Delivery System"
baissaoui -
baissaoui -

0 réponse
comment faire si on a un mail delivery system
angeldu5954 -
angeldu5954 -

5 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Sécurité réseau
Astafor99 -
Astafor99 -

4 réponses
Restauration système impossible activer protection du systeme C:
Kate1993 -
Bigfoot -

7 réponses