Infection par le virus System Progressive Protection Résolu

Question

Bonjour, Mon ordinateur vient d'être infecté par le virus System progressive protection. J'ai heureusement pu télécharger RogueKiller, mais n'étant pas très douée en informatique, j'aurais besoin d'aide pour éradiquer le virus. Voici le rapport obtenu après scan. Merci beaucoup par avance. RogueKiller V8.4.3 [Jan 10 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Sumimi [Droits d'admin] Mode : Recherche -- Date : 11/01/2013 02:55:40 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 11 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : TransBar (C:\Users\Sumimi\AppData\Local\AKSoftware\TransBar\TransBar.exe /s) -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Run : EPSON SX110 Series (C:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\windows\TEMP\E_SCFEC.tmp" /EF "HKCU") -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-3132396592-814543301-853478908-1000[...]\Run : TransBar (C:\Users\Sumimi\AppData\Local\AKSoftware\TransBar\TransBar.exe /s) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-3132396592-814543301-853478908-1000[...]\Run : EPSON SX110 Series (C:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\windows\TEMP\E_SCFEC.tmp" /EF "HKCU") -> TROUVÉ [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 96C533F2A1AE0276000096C49D34087A (C:\ProgramData\96C533F2A1AE0276000096C49D34087A\96C533F2A1AE0276000096C49D34087A.exe) -> TROUVÉ [RUN][Rogue.AntiSpy-ST] HKUS\S-1-5-21-3132396592-814543301-853478908-1000[...]\RunOnce : 96C533F2A1AE0276000096C49D34087A (C:\ProgramData\96C533F2A1AE0276000096C49D34087A\96C533F2A1AE0276000096C49D34087A.exe) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> TROUVÉ [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> TROUVÉ [HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n --> TROUVÉ [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\n --> TROUVÉ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\@ --> TROUVÉ [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\@ --> TROUVÉ [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> TROUVÉ [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\L --> TROUVÉ [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\L --> TROUVÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[84] : NtCreateSection @ 0x81E2C06D -> HOOKED (Unknown @ 0x8A088076) SSDT[299] : NtRequestWaitReplyPort @ 0x81E46A63 -> HOOKED (Unknown @ 0x8A088080) SSDT[316] : NtSetContextThread @ 0x81EE6745 -> HOOKED (Unknown @ 0x8A08807B) SSDT[347] : NtSetSecurityObject @ 0x81E0A742 -> HOOKED (Unknown @ 0x8A088085) SSDT[368] : NtSystemDebugControl @ 0x81E8E6BC -> HOOKED (Unknown @ 0x8A08808A) SSDT[370] : NtTerminateProcess @ 0x81E63BFB -> HOOKED (Unknown @ 0x8A088017) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A08809E) S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8A0880A3) ¤¤¤ Infection : ZeroAccess|Rogue.AntiSpy-ST ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9250315AS +++++ --- User --- [MBR] 54454208b7efa8d1779b706d915d20e2 [BSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo 1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 120694 Mo 3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 20 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_11012013_025540.txt >> RKreport[1]_S_11012013_025540.txt Configuration: Windows 7 / Internet Explorer 9.0

Fish66 · Answer

Bonjour,
Zeroaccess!!
------------------------
Relance RogueKiller puis choisis : "Suppression" et poste

le rapport stp

Ptitkoulibiac · Answer

Bonjour merci de m'aider, voici le 2e rapport: RogueKiller V8.4.3 [Jan 10 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Sumimi [Droits d'admin] Mode : Suppression -- Date : 11/01/2013 08:38:09 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 7 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : TransBar (C:\Users\Sumimi\AppData\Local\AKSoftware\TransBar\TransBar.exe /s) -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : EPSON SX110 Series (C:\windows\system32\spool\DRIVERS\W32X86\3\E_FATIFBE.EXE /FU "C:\windows\TEMP\E_SCFEC.tmp" /EF "HKCU") -> SUPPRIMÉ [RUN][Rogue.AntiSpy-ST] HKCU\[...]\RunOnce : 96C533F2A1AE0276000096C49D34087A (C:\ProgramData\96C533F2A1AE0276000096C49D34087A\96C533F2A1AE0276000096C49D34087A.exe) -> SUPPRIMÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> REMPLACÉ (C:\windows\system32\shell32.dll) [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n) -> REMPLACÉ (C:\windows\system32\wbem\fastprox.dll) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\n --> SUPPRIMÉ AU REBOOT [ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\n --> SUPPRIMÉ AU REBOOT [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\@ --> SUPPRIMÉ AU REBOOT [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\@ --> SUPPRIMÉ [Del.Parent][FILE] 00000001.@ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U\00000001.@ --> SUPPRIMÉ [Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U\80000000.@ --> SUPPRIMÉ [Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U\800000cb.@ --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\L --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3132396592-814543301-853478908-1000\$503ea19d8bfdd7e46b6bfb7bef8ff016\L --> SUPPRIMÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[84] : NtCreateSection @ 0x81E2C06D -> HOOKED (Unknown @ 0x8A088076) SSDT[299] : NtRequestWaitReplyPort @ 0x81E46A63 -> HOOKED (Unknown @ 0x8A088080) SSDT[316] : NtSetContextThread @ 0x81EE6745 -> HOOKED (Unknown @ 0x8A08807B) SSDT[347] : NtSetSecurityObject @ 0x81E0A742 -> HOOKED (Unknown @ 0x8A088085) SSDT[368] : NtSystemDebugControl @ 0x81E8E6BC -> HOOKED (Unknown @ 0x8A08808A) SSDT[370] : NtTerminateProcess @ 0x81E63BFB -> HOOKED (Unknown @ 0x8A088017) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8A08809E) S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8A0880A3) ¤¤¤ Infection : ZeroAccess|Rogue.AntiSpy-ST ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9250315AS +++++ --- User --- [MBR] 54454208b7efa8d1779b706d915d20e2 [BSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo 1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 120694 Mo 3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 20 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_11012013_083809.txt >> RKreport[1]_S_11012013_025540.txt ; RKreport[2]_D_11012013_083809.txt

Fish66 · Answer

Bonjour, /!\ ATTENTION : cette analyse peut durer quelques heures /!\ * Télécharge MBAM et installe le selon l'emplacement par défaut https://www.malwarebytes.com/mwb-download/ * Installe-le puis configure-le comme indiqué : <<< ICI >>> * si tu n'as rien modifié fais directement quitter sinon enregistrer * Lance Malwarebytes' Anti-Malware ================================= Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse. ==> Ce logiciel gratuit est à garder. ================================= * Fais la mise à jour * Clique dans l'onglet "Recherche" * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen" A la fin de l'analyse, si MBAM n'a rien trouvé : * Clique sur OK, le rapport s'ouvre spontanément Si des menaces ont été détectées : * Clique sur OK puis "Afficher les résultats" *Vérifie que toutes les lignes sont cochées * Choisis l'option "Supprimer la sélection" * Si MBAM demande le redémarrage de Windows : Clique sur "Oui" * Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs" * Copie/colle le rapport dans le prochain message Remarque : - S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

Ptitkoulibiac · Answer

Voici le rapport de Malewarebytes:

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Sumimi :: SUMIMI-PC [administrateur]

Protection: Activé

11/01/2013 14:22:25
mbam-log-2013-01-11 (14-22-25).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 316953
Temps écoulé: 2 heure(s), 55 minute(s), 44 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\Sumimi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 7
C:\ProgramData\96C533F2A1AE0276000096C49D34087A\96C533F2A1AE0276000096C49D34087A.exe (Trojan.Lameshield.124) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Local\Temp\msimg32.dll (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Local\Temp\139D4QVP.exe (Trojan.Agent.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Local\Temp\8A53.tmp (Trojan.Lameshield.124) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Local\Temp\~!#3092.tmp (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\Desktop\RK_Quarantine\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Sumimi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Mis en quarantaine et supprimé avec succès.

(fin)

Ptitkoulibiac · Answer

Il était accompagné de ce rapport-ci:

2013/01/11 14:13:40 +0100	SUMIMI-PC	Sumimi	MESSAGE	Executing scheduled update:  Daily
2013/01/11 14:13:53 +0100	SUMIMI-PC	Sumimi	MESSAGE	Starting protection
2013/01/11 14:13:53 +0100	SUMIMI-PC	Sumimi	MESSAGE	Protection started successfully
2013/01/11 14:13:53 +0100	SUMIMI-PC	Sumimi	MESSAGE	Starting IP protection
2013/01/11 14:13:53 +0100	SUMIMI-PC	Sumimi	ERROR	IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2013/01/11 14:17:13 +0100	SUMIMI-PC	Sumimi	MESSAGE	Starting database refresh
2013/01/11 14:17:27 +0100	SUMIMI-PC	Sumimi	MESSAGE	Scheduled update executed successfully:  database updated from version v2012.12.14.11 to version v2013.01.11.08
2013/01/11 14:17:46 +0100	SUMIMI-PC	Sumimi	MESSAGE	Database refreshed successfully
2013/01/11 17:25:08 +0100	SUMIMI-PC	(null)	MESSAGE	Starting protection
2013/01/11 17:25:08 +0100	SUMIMI-PC	(null)	MESSAGE	Protection started successfully
2013/01/11 17:25:08 +0100	SUMIMI-PC	(null)	MESSAGE	Starting IP protection
2013/01/11 17:25:08 +0100	SUMIMI-PC	(null)	ERROR	IP protection failed:  FwpmEngineOpen0 failed with error code 1753

Fish66 · Answer

Bonsoir, 
1/
Relance RogueKiller puis poste le rapport de "recherche"

2/
* Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 
* Sous Personnalisation, copie-colle le texte en gras  ci-dessous : 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
CREATERESTOREPOINT 
nslookup www.google.fr /c  


* Clique sur le bouton Analyse. 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le lien pjjoint ici ensuite pour pouvoir être consultés.  
  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Ptitkoulibiac · Answer

Bonsoir, voici le lien. 
https://pjjoint.malekal.com/files.php?id=20130111_o13c15c15v13o12

Par contre je n'avais pas vu le 1/ du coup je relance RogueKiller.

Faut-il faire un autre lien pour Extras?

Merci.

Ptitkoulibiac · Answer

Voilà le 3e rapport de RogueKiller. Il y a toujours Zero access RogueKiller V8.4.3 [Jan 10 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Sumimi [Droits d'admin] Mode : Recherche -- Date : 11/01/2013 20:14:00 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> TROUVÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[84] : NtCreateSection @ 0x81E6806D -> HOOKED (Unknown @ 0x892C8EF6) SSDT[299] : NtRequestWaitReplyPort @ 0x81E82A63 -> HOOKED (Unknown @ 0x892C8F00) SSDT[316] : NtSetContextThread @ 0x81F22745 -> HOOKED (Unknown @ 0x892C8EFB) SSDT[347] : NtSetSecurityObject @ 0x81E46742 -> HOOKED (Unknown @ 0x892C8F05) SSDT[368] : NtSystemDebugControl @ 0x81ECA6BC -> HOOKED (Unknown @ 0x892C8F0A) SSDT[370] : NtTerminateProcess @ 0x81E9FBFB -> HOOKED (Unknown @ 0x892C8E97) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x892C8F1E) S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x892C8F23) ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9250315AS +++++ --- User --- [MBR] 54454208b7efa8d1779b706d915d20e2 [BSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo 1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 120694 Mo 3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 20 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3]_S_11012013_201400.txt >> RKreport[1]_S_11012013_025540.txt ; RKreport[2]_D_11012013_083809.txt ; RKreport[3]_S_11012013_201400.txt

Ptitkoulibiac · Answer

J'avais fait cette manipulation sur un autre ordinateur (windows xp), mais depuis il affiche "windows xp edition familiale" au démarrage, alors qu'il affichait directement "démarrage" auparavant et agit parfois comme s'il était en mode sans échec lorsque je veux lancer certains programmes ou les supprimer.

Je crains que ça ne fasse la même chose sur cet ordinateur

Et le fait que mon ordinateur actuel soit un windows 7 starter (avec des fonctionnalités limitées par rapport au windows 7) ne change rien?

Fish66 · Answer

D'accord!  
------------------------  
1/  
 Relance OTL  
- Sous XP double-clic sur l'icône pour lancer l'outil.  
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.  
* Dans la partie "Personnalisation", copie/colle les instructions suivantes :  

:OTL  
IE - HKU\S-1-5-21-3132396592-814543301-853478908-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)   
FF - prefs.js..browser.search.defaultengine: "Ask.com"        
FF - prefs.js..browser.search.defaultenginename: "Ask.com"        
FF - prefs.js..browser.search.order.1: "Ask.com"        
FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-4&o=APN10264&locale=fr_FR&apn_uid=caf505cf-bbe8-4d99-8fae-7b7e37dbb6b6&apn_ptnrs=%5EAGV&apn_sauid=ABC21F01-D72A-4ECB-89D5-F3CFE8B08E2F&apn_dtid=%5EYYYYYY%5EYY%5EFR&&q="        
[2012/11/29 13:17:00 | 000,000,000 | ---D | M] (Avira SearchFree Toolbar plus Web Protection) -- C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions	oolbar@ask.com     
[2012/11/29 13:17:00 | 000,002,344 | ---- | M] () -- C:\Users\Sumimi\AppData\Roaming\mozilla\firefox\profiles\uf2wj1qz.default\searchplugins\askcom.xml      


:Files  
C:\ProgramData\96C533F2A1AE0276000096C49D34087A      
@Alternate Data Stream - 131 bytes -> C:\ProgramData\TEMP:2F370DA6        
@Alternate Data Stream - 129 bytes -> C:\ProgramData\TEMP:107F17EB        
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:3780BCC3        
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:59D05D9A        

:Commands  
[purity]  
[emptytemp]  
[Reboot]  




* Clique sur le bouton Correction.   
* Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.  
* Accepte en cliquant sur OK.  
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.  

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles  

2/  
Démarrage  en Mode sans échec avec prise en charge réseau :  
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter  
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau  
puis tape entrée.  
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !  
(Si F8 ne marche pas utilise la touche F5)  
----------------------  
Dans ce mode relance RogueKiller puis choisis "Suppression" ensuite relance mbam, supprime tous ce qu'il trouve puis poste le rapport  

3/
Redémarre ton PC en mode normal puis fais ceci :
Télécharger AntiZeroAccess  sur le bureau
* Double-cliquez dessus pour l'exécuter (Si vous utilisez Vista ou Windows 7, faites un clic droit dessus et sélectionnez "Exécuter en tant qu'administrateur")
* Tapez y et appuyez sur Entrée pour lancer le scan
* Si un redémarrage est nécessaire, le faire immédiatement.
* Poster le rapport AntiZeroAccess_Log.txt sur le forum.
* Ce fichier est enregistré dans le même emplacement que le programme AntiZeroAccess.

A demain

Bonne nuit!

   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Ptitkoulibiac · Answer

Merci pour toutes ces instructions, mais du coup c'est à faire après Combofix? Ou à la place?

A demain, bonne soirée.

Fish66 · Answer

Bonjour,

Ce n'est pas la peine de lancer combofix pour le moment! 

@+

Ptitkoulibiac · Answer

Bonjour,

Voici le rapport OTL de la correction:

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3132396592-814543301-853478908-1000\Software\Microsoft\Internet Explorer\URLSearchHooks\{00000000-6E41-4FD3-8538-502F5495E5FC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\ deleted successfully.
C:\Program Files\Ask.com\GenericAskToolbar.dll moved successfully.
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "Ask.com" removed from browser.search.defaultenginename
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "http://www.search.ask.com/?o=10148&l=dis" removed from keyword.URL
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions	oolbar@ask.com\searchplugins folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions	oolbar@ask.com\plugins folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions	oolbar@ask.com\defaults\preferences folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions	oolbar@ask.com\defaults folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions	oolbar@ask.com\chrome\skin folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions	oolbar@ask.com\chrome\content folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions	oolbar@ask.com\chrome folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\Firefox\Profiles\uf2wj1qz.default\extensions	oolbar@ask.com folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\mozilla\firefox\profiles\uf2wj1qz.default\searchplugins\askcom.xml moved successfully.
========== FILES ==========
C:\ProgramData\96C533F2A1AE0276000096C49D34087A folder moved successfully.
ADS C:\ProgramData\TEMP:2F370DA6 deleted successfully.
ADS C:\ProgramData\TEMP:107F17EB deleted successfully.
ADS C:\ProgramData\TEMP:3780BCC3 deleted successfully.
ADS C:\ProgramData\TEMP:59D05D9A deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56825 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Sumimi
->Temp folder emptied: 4064779 bytes
->Temporary Internet Files folder emptied: 82472251 bytes
->Java cache emptied: 110558 bytes
->FireFox cache emptied: 92460540 bytes
->Flash cache emptied: 60941 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 17262754 bytes
RecycleBin emptied: 4481176 bytes
 
Total Files Cleaned = 192.00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 01122013_100605

Files\Folders moved on Reboot...
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\01[1].htm not found!
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\28719-2[1].htm not found!
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\affich-26876886-infection-par-le-virus-system-progressive-protection[2].htm moved successfully.
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\afr[1].htm not found!
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\like[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YSZ7VKJ3\pd[3].htm moved successfully.
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\38968-2[1].htm not found!
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\ads[6].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\ads[7].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\ads[8].htm moved successfully.
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\afr[1].htm not found!
File\Folder C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\afr[2].htm not found!
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\chartes-ethiques-et-inspection-du-travail_48409F0E-E224-4A34-91B3-814F8E7C8B21[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\uid[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\TPKB5B61\xd_arbiter[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\fastbutton[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\fastbutton[2].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\search[5].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\si[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\si[3].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8	utorial-otl[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8	weet_button.1357735024[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\xd_arbiter[2].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\OKXFROV8\zrt_lookup[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MT29195J\like[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MT29195Jequest_content[1].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\MT29195J\search[5].htm moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
C:\Users\Sumimi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully.
C:\windows	emp\HS.log moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Ptitkoulibiac · Answer

Et voilà le rapport MBAM:

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.11.08

Windows 7 Service Pack 1 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Sumimi :: SUMIMI-PC [administrateur]

Protection: Désactivé

12/01/2013 10:34:22
mbam-log-2013-01-12 (10-34-22).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 311837
Temps écoulé: 55 minute(s), 13 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Ptitkoulibiac · Answer

Et le rapport antizeroaccess:

Webroot AntiZeroAccess 0.8 Log File
Execution time: 12/01/2013 - 11:46
Host operation System: Windows Seven X86 version 6.1.7601 Service Pack 1
Webroot AntiZeroAccess 0.8 Log File
Execution time: 12/01/2013 - 11:49
Host operation System: Windows Seven X86 version 6.1.7601 Service Pack 1
11:49:51 - CheckSystem - Begin to check system...
11:49:51 - OpenRootDrive - Opening system root volume and physical drive....
11:49:51 - C Root Drive: Disk number: 0  Start sector: 0x00000800   Partition Size: 0x0C800000 sectors.
11:49:51 - PrevX Main driver extracted in "C:\windows\system32\drivers\ZeroAccess.sys".
11:49:52 - InstallAndStartDriver - Main driver was installed and now is running.
11:49:52 - CheckSystem - Disk class driver state is OK.
11:50:10 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
11:50:10 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
11:50:10 - Execution Ended!

Fish66 · Answer

D'accord!
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ] 
Patiente...
Poste le rapport qui apparait en fin de recherche.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

Ptitkoulibiac · Answer

Voilà le rapport:

# AdwCleaner v2.105 - Rapport créé le 12/01/2013 à 12:39:37
# Mis à jour le 08/01/2013 par Xplode
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)
# Nom d'utilisateur : Sumimi - SUMIMI-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Sumimi\Desktop\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Ask.com
Dossier Supprimé : C:\ProgramData\Trymedia
Dossier Supprimé : C:\Users\Sumimi\AppData\LocalLow\AskToolbar
Dossier Supprimé : C:\windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Fichier Supprimé : C:\Users\Public\Desktop\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\APN
Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
Clé Supprimée : HKCU\Software\Ask.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\APN
Clé Supprimée : HKLM\Software\AskToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
Clé Supprimée : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\120DFADEB50841F408F04D2A278F9509
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\fbb1f81051744ac8311578809b9de657
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v18.0 (fr)

Fichier : C:\Users\Sumimi\AppData\Roaming\Mozilla\Firefox\Profiles\uf2wj1qz.default\prefs.js

Supprimée : user_pref("extensions.asktb.ff-original-keyword-url", "");
Supprimée : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=AVR-4&o=APN10264&loc[...]

*************************

AdwCleaner[S1].txt - [7138 octets] - [12/01/2013 12:39:37]

########## EOF - C:\AdwCleaner[S1].txt - [7198 octets] ##########

Fish66 · Answer

Il me faut un nouveau rapport OTL : https://forums.commentcamarche.net/forum/affich-26876886-infection-par-le-virus-system-progressive-protection#6

Ptitkoulibiac · Answer

Et voici le rapport OTL:

https://pjjoint.malekal.com/files.php?id=20130112_u8d146i6t13

Fish66 · Answer

1/ Relance OTL - Sous XP double-clic sur l'icône pour lancer l'outil. - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. * Dans la partie "Personnalisation", copie/colle les instructions suivantes : :OTL [2012/01/06 00:00:04 | 000,000,000 | ---D | M] -- C:\Users\Sumimi\AppData\Roaming\F-Secure [2010/06/24 17:10:26 | 000,131,984 | ---- | C] () -- C:\ProgramData\FullRemove.exe O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. * Clique sur le bouton Correction. * Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC. * Accepte en cliquant sur OK. * Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément. Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles 2/ * Télécharge Adobe reader à partir :>>>>Ce lien<<<< en décochant la case : installer McAfee Security Scan Plus (facultatif) * Désinstalle ta version d'adobe par : ajout/suppression de programme * Exécute le fichier téléchargé pour installation en suivant les instructions. 3/ Lance ton antivirus Avira puis poste le rapport stp! @+ ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Ptitkoulibiac · Answer

Voilà le rapport, mais il ne m'a pas demandé de redémarrer le pc automatiquement

========== OTL ==========
C:\Users\Sumimi\AppData\Roaming\F-Secure\System Control folder moved successfully.
C:\Users\Sumimi\AppData\Roaming\F-Secure folder moved successfully.
C:\ProgramData\FullRemove.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\Locked deleted successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 01122013_173306

Ptitkoulibiac · Answer

Le centre de sécurité windows a été désactivé, et impossible de le réactiver pour remettre le pare feu
ça a un rapport avec defogger?

Fish66 · Answer

Bonsoir, 
Non, aucune liaison! 
Relance  RogueKiller puis Avira et poste stp les deux rapports de scan
  
  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Ptitkoulibiac · Answer

En attendant qu'Avira termine, voici le rapport de RogueKiller: RogueKiller V8.4.3 [Jan 10 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Sumimi [Droits d'admin] Mode : Recherche -- Date : 12/01/2013 18:55:04 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$503ea19d8bfdd7e46b6bfb7bef8ff016\U --> TROUVÉ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[84] : NtCreateSection @ 0x81E3E06D -> HOOKED (Unknown @ 0x89448346) SSDT[299] : NtRequestWaitReplyPort @ 0x81E58A63 -> HOOKED (Unknown @ 0x89448350) SSDT[316] : NtSetContextThread @ 0x81EF8745 -> HOOKED (Unknown @ 0x8944834B) SSDT[347] : NtSetSecurityObject @ 0x81E1C742 -> HOOKED (Unknown @ 0x89448355) SSDT[368] : NtSystemDebugControl @ 0x81EA06BC -> HOOKED (Unknown @ 0x8944835A) SSDT[370] : NtTerminateProcess @ 0x81E75BFB -> HOOKED (Unknown @ 0x894482E7) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8944836E) S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x89448373) ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9250315AS +++++ --- User --- [MBR] 54454208b7efa8d1779b706d915d20e2 [BSP] 2871b0cb4a20f4adcbfd66f245d395bf : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 102400 Mo 1 - [XXXXXX] FAT32 (0x1b) [HIDDEN!] Offset (sectors): 209717248 | Size: 15360 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 241174528 | Size: 120694 Mo 3 - [XXXXXX] UNKNOWN (0xef) [VISIBLE] Offset (sectors): 488355840 | Size: 20 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[6]_S_12012013_185504.txt >> RKreport[1]_S_11012013_025540.txt ; RKreport[2]_D_11012013_083809.txt ; RKreport[3]_S_11012013_201400.txt ; RKreport[4]_S_12012013_103242.txt ; RKreport[5]_D_12012013_103316.txt ; RKreport[6]_S_12012013_185504.txt

Fish66 · Answer

On va lancer un autre outil! :-)
------------------------ 
Avant d'utiliser ComboFix :
          
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau
* Lance le

* Une fenêtre apparait : clique sur "Disable"

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

===================================================

Attention, avant de commencer, lis attentivement la procédure 

********************************************************

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\ 

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  
Voici Aide combofix

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

*Note : Le rapport se trouve également là : C:\ComboFix.txt

Ptitkoulibiac · Answer

D'accord, je lance combofix après le rapport d'Avira. La console de récupération s'installera automatiquement? Parce que je ne sais pas comment le faire.

Ptitkoulibiac · Answer

Je ne pense pas que ce soit très utile mais voilà le rapport d'Avira.


Avira Free Antivirus
Date de création du fichier de rapport : samedi 12 janvier 2013  18:24


Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows 7 Starter
Version de Windows      : (Service Pack 1)  [6.1.7601]
Mode Boot               : Démarré normalement
Identifiant             : Système
Nom de l'ordinateur     : SUMIMI-PC

Informations de version :
BUILD.DAT               : 13.0.0.526     48565 Bytes  18/12/2012 15:23:00
AVSCAN.EXE              : 13.6.0.402    639264 Bytes  20/12/2012 16:15:41
AVSCANRC.DLL            : 13.4.0.360     65312 Bytes  20/12/2012 16:15:41
LUKE.DLL                : 13.6.0.400     67360 Bytes  20/12/2012 16:15:59
AVSCPLR.DLL             : 13.6.0.402     93984 Bytes  10/12/2012 16:25:48
AVREG.DLL               : 13.6.0.406    248096 Bytes  10/12/2012 16:25:48
avlode.dll              : 13.6.1.402    428832 Bytes  10/12/2012 16:25:49
avlode.rdf              : 13.0.0.26       7958 Bytes  10/12/2012 16:25:48
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 13:50:29
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 07:53:40
VBASE002.VDF            : 7.11.19.170 14374912 Bytes  20/12/2011 07:53:44
VBASE003.VDF            : 7.11.21.238  4472832 Bytes  01/02/2012 07:53:46
VBASE004.VDF            : 7.11.26.44   4329472 Bytes  28/03/2012 07:53:47
VBASE005.VDF            : 7.11.34.116  4034048 Bytes  29/06/2012 08:27:10
VBASE006.VDF            : 7.11.41.250  4902400 Bytes  06/09/2012 08:27:11
VBASE007.VDF            : 7.11.50.230  3904512 Bytes  22/11/2012 12:18:39
VBASE008.VDF            : 7.11.55.142  2214912 Bytes  03/01/2013 14:24:38
VBASE009.VDF            : 7.11.55.143     2048 Bytes  03/01/2013 14:24:38
VBASE010.VDF            : 7.11.55.144     2048 Bytes  03/01/2013 14:24:38
VBASE011.VDF            : 7.11.55.145     2048 Bytes  03/01/2013 14:24:38
VBASE012.VDF            : 7.11.55.146     2048 Bytes  03/01/2013 14:24:38
VBASE013.VDF            : 7.11.55.196   260096 Bytes  04/01/2013 10:33:01
VBASE014.VDF            : 7.11.56.23    206848 Bytes  07/01/2013 13:51:35
VBASE015.VDF            : 7.11.56.83    186880 Bytes  08/01/2013 23:09:55
VBASE016.VDF            : 7.11.56.145   135168 Bytes  09/01/2013 12:10:57
VBASE017.VDF            : 7.11.56.211   139776 Bytes  11/01/2013 13:23:34
VBASE018.VDF            : 7.11.56.212     2048 Bytes  11/01/2013 13:23:34
VBASE019.VDF            : 7.11.56.213     2048 Bytes  11/01/2013 13:23:34
VBASE020.VDF            : 7.11.56.214     2048 Bytes  11/01/2013 13:23:34
VBASE021.VDF            : 7.11.56.215     2048 Bytes  11/01/2013 13:23:34
VBASE022.VDF            : 7.11.56.216     2048 Bytes  11/01/2013 13:23:34
VBASE023.VDF            : 7.11.56.217     2048 Bytes  11/01/2013 13:23:34
VBASE024.VDF            : 7.11.56.218     2048 Bytes  11/01/2013 13:23:34
VBASE025.VDF            : 7.11.56.219     2048 Bytes  11/01/2013 13:23:34
VBASE026.VDF            : 7.11.56.220     2048 Bytes  11/01/2013 13:23:34
VBASE027.VDF            : 7.11.56.221     2048 Bytes  11/01/2013 13:23:35
VBASE028.VDF            : 7.11.56.222     2048 Bytes  11/01/2013 13:23:35
VBASE029.VDF            : 7.11.56.223     2048 Bytes  11/01/2013 13:23:35
VBASE030.VDF            : 7.11.56.224     2048 Bytes  11/01/2013 13:23:35
VBASE031.VDF            : 7.11.56.250    60416 Bytes  12/01/2013 13:23:33
Version du moteur       : 8.2.10.230
AEVDF.DLL               : 8.1.2.10      102772 Bytes  07/11/2012 08:26:53
AESCRIPT.DLL            : 8.1.4.80      467322 Bytes  11/01/2013 01:23:40
AESCN.DLL               : 8.1.10.0      131445 Bytes  13/12/2012 17:49:57
AESBX.DLL               : 8.2.5.12      606578 Bytes  07/11/2012 08:26:53
AERDL.DLL               : 8.2.0.88      643444 Bytes  11/01/2013 01:23:38
AEPACK.DLL              : 8.3.1.2       819574 Bytes  20/12/2012 14:31:22
AEOFFICE.DLL            : 8.1.2.50      201084 Bytes  07/11/2012 08:26:53
AEHEUR.DLL              : 8.1.4.174    5615991 Bytes  11/01/2013 01:23:35
AEHELP.DLL              : 8.1.25.2      258423 Bytes  07/11/2012 08:26:50
AEGEN.DLL               : 8.1.6.14      434548 Bytes  11/01/2013 01:23:12
AEEXP.DLL               : 8.3.0.8       188788 Bytes  12/01/2013 13:23:34
AEEMU.DLL               : 8.1.3.2       393587 Bytes  07/11/2012 08:26:50
AECORE.DLL              : 8.1.30.0      201079 Bytes  13/12/2012 17:49:49
AEBB.DLL                : 8.1.1.4        53619 Bytes  07/11/2012 08:26:50
AVWINLL.DLL             : 13.4.0.163     25888 Bytes  07/11/2012 08:26:59
AVPREF.DLL              : 13.4.0.360     50464 Bytes  20/12/2012 16:15:40
AVREP.DLL               : 13.4.0.360    177952 Bytes  10/12/2012 16:25:48
AVARKT.DLL              : 13.6.0.402    260384 Bytes  20/12/2012 16:15:36
AVEVTLOG.DLL            : 13.6.0.400    167200 Bytes  20/12/2012 16:15:39
SQLITE3.DLL             : 3.7.0.1       397088 Bytes  07/11/2012 08:27:08
AVSMTP.DLL              : 13.4.0.163     62752 Bytes  07/11/2012 08:26:58
NETNT.DLL               : 13.4.0.360     15648 Bytes  20/12/2012 16:15:59
RCIMAGE.DLL             : 13.4.0.141   4782880 Bytes  07/11/2012 08:27:14
RCTEXT.DLL              : 13.4.0.360     70432 Bytes  20/12/2012 16:15:35

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: C:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: par défaut
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche du registre.........................: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Recherche sur tous les fichiers...............: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: avancé

Début de la recherche : samedi 12 janvier 2013  18:24

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche d'objets cachés commence.

La recherche sur les processus démarrés commence :
Recherche en cours du processus 'SearchFilterHost.exe' - '27' module(s) ont été recherchés
Recherche en cours du processus 'SearchProtocolHost.exe' - '29' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '28' module(s) ont été recherchés
Recherche en cours du processus 'vssvc.exe' - '47' module(s) ont été recherchés
Recherche en cours du processus 'avscan.exe' - '120' module(s) ont été recherchés
Recherche en cours du processus 'avcenter.exe' - '87' module(s) ont été recherchés
Recherche en cours du processus 'SearchIndexer.exe' - '54' module(s) ont été recherchés
Recherche en cours du processus 'armsvc.exe' - '23' module(s) ont été recherchés
Recherche en cours du processus 'iexplore.exe' - '121' module(s) ont été recherchés
Recherche en cours du processus 'FlashUtil32_11_5_502_146_ActiveX.exe' - '54' module(s) ont été recherchés
Recherche en cours du processus 'iexplore.exe' - '115' module(s) ont été recherchés
Recherche en cours du processus 'iexplore.exe' - '100' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '28' module(s) ont été recherchés
Recherche en cours du processus 'taskeng.exe' - '27' module(s) ont été recherchés
Recherche en cours du processus 'SynTPHelper.exe' - '17' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '50' module(s) ont été recherchés
Recherche en cours du processus 'ONENOTEM.EXE' - '20' module(s) ont été recherchés
Recherche en cours du processus 'sidebar.exe' - '91' module(s) ont été recherchés
Recherche en cours du processus 'KiesPDLR.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'Kies.exe' - '121' module(s) ont été recherchés
Recherche en cours du processus 'jusched.exe' - '24' module(s) ont été recherchés
Recherche en cours du processus 'avgnt.exe' - '86' module(s) ont été recherchés
Recherche en cours du processus 'KiesTrayAgent.exe' - '78' module(s) ont été recherchés
Recherche en cours du processus 'AsusWSPanel.exe' - '100' module(s) ont été recherchés
Recherche en cours du processus 'EEventManager.exe' - '72' module(s) ont été recherchés
Recherche en cours du processus 'SynAsusAcpi.exe' - '22' module(s) ont été recherchés
Recherche en cours du processus 'Boingo Wi-Fi.exe' - '44' module(s) ont été recherchés
Recherche en cours du processus 'SynTPEnh.exe' - '47' module(s) ont été recherchés
Recherche en cours du processus 'RtHDVCpl.exe' - '41' module(s) ont été recherchés
Recherche en cours du processus 'igfxsrvc.exe' - '29' module(s) ont été recherchés
Recherche en cours du processus 'igfxpers.exe' - '32' module(s) ont été recherchés
Recherche en cours du processus 'hkcmd.exe' - '28' module(s) ont été recherchés
Recherche en cours du processus 'SuperHybridEngine.exe' - '39' module(s) ont été recherchés
Recherche en cours du processus 'wmiprvse.exe' - '33' module(s) ont été recherchés
Recherche en cours du processus 'igfxtray.exe' - '29' module(s) ont été recherchés
Recherche en cours du processus 'CapsHook.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'Eee Docking.exe' - '23' module(s) ont été recherchés
Recherche en cours du processus 'HotKeyMon.exe' - '16' module(s) ont été recherchés
Recherche en cours du processus 'LiveUpdate.exe' - '73' module(s) ont été recherchés
Recherche en cours du processus 'HotkeyService.exe' - '45' module(s) ont été recherchés
Recherche en cours du processus 'IAAnotif.exe' - '38' module(s) ont été recherchés
Recherche en cours du processus 'Explorer.EXE' - '213' module(s) ont été recherchés
Recherche en cours du processus 'Dwm.exe' - '25' module(s) ont été recherchés
Recherche en cours du processus 'mbamgui.exe' - '34' module(s) ont été recherchés
Recherche en cours du processus 'taskhost.exe' - '50' module(s) ont été recherchés
Recherche en cours du processus 'AVWEBGRD.EXE' - '60' module(s) ont été recherchés
Recherche en cours du processus 'avshadow.exe' - '31' module(s) ont été recherchés
Recherche en cours du processus 'WLIDSvcM.exe' - '17' module(s) ont été recherchés
Recherche en cours du processus 'IAANTMon.exe' - '35' module(s) ont été recherchés
Recherche en cours du processus 'WLIDSVC.EXE' - '55' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '38' module(s) ont été recherchés
Recherche en cours du processus 'SeaPort.EXE' - '47' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '21' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '21' module(s) ont été recherchés
Recherche en cours du processus 'mbamservice.exe' - '45' module(s) ont été recherchés
Recherche en cours du processus 'mbamscheduler.exe' - '32' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '31' module(s) ont été recherchés
Recherche en cours du processus 'AsusService.exe' - '24' module(s) ont été recherchés
Recherche en cours du processus 'avguard.exe' - '71' module(s) ont été recherchés
Recherche en cours du processus 'sched.exe' - '42' module(s) ont été recherchés
Recherche en cours du processus 'spoolsv.exe' - '80' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '76' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '61' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '136' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '96' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '56' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '36' module(s) ont été recherchés
Recherche en cours du processus 'svchost.exe' - '52' module(s) ont été recherchés
Recherche en cours du processus 'winlogon.exe' - '31' module(s) ont été recherchés
Recherche en cours du processus 'lsm.exe' - '16' module(s) ont été recherchés
Recherche en cours du processus 'lsass.exe' - '70' module(s) ont été recherchés
Recherche en cours du processus 'services.exe' - '36' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'wininit.exe' - '26' module(s) ont été recherchés
Recherche en cours du processus 'csrss.exe' - '18' module(s) ont été recherchés
Recherche en cours du processus 'smss.exe' - '2' module(s) ont été recherchés

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '1615' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
Recherche débutant dans 'D:\'


Fin de la recherche : samedi 12 janvier 2013  20:32
Temps nécessaire:  2:07:57 Heure(s)

La recherche a été effectuée intégralement

  22418 Les répertoires ont été contrôlés
 411150 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
 411150 Fichiers non infectés
   3945 Les archives ont été contrôlées
      0 Avertissements
      0 Consignes
 618948 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Fish66 · Answer

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
Oui, la console de récupération s'installe automatiquement, s'il te propose remets l'internet!

Ptitkoulibiac · Answer

Même après avoir désactivé l'antivirus combofix me signale que avira est actif. Du coup j'ai voulu désinstaller avira mais il faut maintenant redémarrer l'ordinateur. Puis je le faire?

Ptitkoulibiac · Answer

Ouf, ça a l'air de s'être bien passé. Voilà le rapport combofix:

https://pjjoint.malekal.com/files.php?id=20130112_m6s15h5k5h9

Fish66 · Answer

Salut,

Comment fonctionne ton PC maintenant ?

Ptitkoulibiac · Answer

Bonjour,

Le pc refonctionne parfaitement, le pare feu est à nouveau activé. 
Faut-il que je désinstalle combofix, MBAM,  adwcleaner, OTL et Roguekiller?

Fish66 · Answer

Bonsoir,
Parfait!
Faut-il que je désinstalle combofix, MBAM, adwcleaner, OTL et Roguekiller?
On va les désinstaller en lancant Delfix!
Surtout n'oublies pas de vider la restauration du système et créer un nouveau point.
Tous est expliqué ci-dessous..
--------------------------------
Il reste qu"à faire ce ménage :
 Updatechecker :
Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour  
Tu peux l'utiliser une fois par semaine          
===========================================
**Nettoyage 

Suppression des outils de désinfections:
* Télécharge  Delfix   sur ton bureau.         
* Lance le, tape suppression puis valide         
* Patiente pendant le scan jusqu'à l'ouverture du rapport.         
* Copie/Colle le contenu du rapport dans ta prochaine réponse.         
Note : Le rapport se trouve également sous C:\DelFix.txt         
* Tu peux le desinstaller         

===========================================        
<code>Défragmentation : :
Défragmente tes disques dur par defraggler
Tu peux lutiliser une fois par trimestre   
===========================================   
 Vacciner les supports amovibles :  :
*Télécharge : MKV (créé par El Desaparecido) sur ton Bureau.
*Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.
*Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
*Double clique sur MKV.exe.
*Clique sur Vacciner.

===========================================

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim              
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis        
* Avancé et décoche la case Effacer uniquement les fichiers etc....        
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.        
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .        
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/        
Tu peux utiliser Ccleaner une fois par semaine       

===========================================   
Purger les points de restauration système:  

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :  

Windows XP   

Windows Vista   

Windows 7   

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...  

===========================================   
Conseils :      
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules         
complémentaires WOT pour t'indiquer les sites douteux et Adblock plus pour bloquer les publicités...        

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.         

3/ Un peu de lecture :       
* Les dangers du Peer-To-Peer, Emule etc..        
* Comment Sécuriser son ordinateur...       
*Pourquoi et comment je me fais infecter  
*pourquoi maintenir son navigateur à jour

Ptitkoulibiac · Answer

Bonsoir,

Merci pour tous les conseils, j'ai quelques questions avant de me lancer dans chaque étapes:

Pour la défragmentation, utiliser le défragmenteur de "outils système" ne suffit pas?

Suffit-il de faire une sauvegarde sur une clé usb pour créer un nouveau point de restauration?

Je possède actuellement Piriform CCleaner v.3.24.1850, faut-il que je le désinstalle avant de réinstaller celui du lien du tuto?

Fish66 · Answer

D'accord! 
- Concernant la défragmentation :  
En utilisant un logiciel spécifié, c'est plus rapide et performant! 
- Tu ne sauvegardes rien! juste tu suis les procédures expliquées . 
- Tu peux faire le nettoyage avec ta version de Ccleaner.. 
---------------------- 
Tu peux démarrer! :-) 

  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Ptitkoulibiac · Answer

D'accord. Pour l'instant j'ai téléchargé updatechecker, la dernière version CCleaner et delfix mais lorsque j'ai exécuté la suppression des outils de désinfection l'icone de Delfix a disparu du bureau et il ne se passe rien...

Ptitkoulibiac · Answer

Je crois que Delfix a bien supprimé les outils de désinfection car lorsque que j'essaie de les lancer, les fichiers sont introuvables pour windows, mais je n'arrive pas à trouver le rapport.

Fish66 · Answer

D'accord!
Sois prudent et bon surf ...  :-)
Si tu n'as pas de souci pense à mettre ton sujet comme résolu

Bonne soirée

Ptitkoulibiac · Answer

Oui, je le ferai dès que j'aurai terminé toutes les étapes.

Merci pour tout!

Bonne soirée.

Ptitkoulibiac · Answer

Voilà, j'ai fait toutes les étapes. Mais je n'ai pas compris la partie:

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...
 
J'ai juste réactivé la restauration mais le tuto ne montrait pas comment "créer" un nouveau point de restauration...

Dois-je supprimer mkv?

Fish66 · Answer

Bonjour,
1/
Il est nécessaire de créer un point de restauration, pour le faire :
Juste tu clique sur "Créer" comme le montre : cette image

2/
Oui, tu peux supprimer mkv 

@+

Ptitkoulibiac · Answer

Merci beaucoup!

Infection par le virus System Progressive Protection - Page 3

Discussions similaires

Newsletters