PC infecté par le virus gendarmerie

Résolu
mdk727377 Messages postés 17 Statut Membre -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

Mon PC est bloqué sur une page du ministére de l'intérieur me disant de payer 100 euros afin de le débloquer.
Le mode sans échec ne fonctionne pas, j'ai donc graver un CD avec OTLPE, et demarrer mon PC, ensuite j'ai lancer Rogue killer ( qui me detecte Rans gendarm) et fait suppression.
Par contre en redemarrant , la page du ministére de l'intérieur s'affiche à nouveau, j'en déduit que le virus n'a pas été éradiqué.
Que puis je faire ?

29 réponses

  • 1
  • 2
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Est-ce que tu peux poster le rapport RogueKiller ?

    Ensuite démarre le PC avec le CD OTLPE.

    - Double clique sur OTLPE
    - Si tu obtienS la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
    - Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES
    - Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES
    - Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK

    OTL se lance

    - Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Custom Scan"

    --------------------------------------------------------------------------
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0

    -------------------------------------------------------------------------
    puis clique sur Run Scan et poste le rapport

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    1
  2. 1@@9 Messages postés 304 Statut Membre 28
     
    Bonjour essai ça
    https://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque
    0
  3. mdk727377 Messages postés 17 Statut Membre
     
    Merci 1@@9 pour ta réponse mais cela ne marche pas.
    Concernant la réponse de Smart91, je te poste le rapport de RK, et j'ai lancé OTL.

    RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Système [Droits d'admin]
    Mode : Recherche -- Date : 28/02/2013 14:19:16
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 17 ¤¤¤
    [RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : iessetup (X:\Windows\system32\rundll32.exe "X:\Program Files\Internet Explorer\iessetup.dll",LaunchProcessInputFiles ) -> TROUVÉ
    [RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : wmssetup (X:\Windows\system32\rundll32.exe "X:\Program Files\Windows Media Player\wmssetup.dll",LaunchProcessInputFiles ) -> TROUVÉ
    [RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : ASYNCMAC (rundll32.exe streamci,StreamingDeviceSetup {eeab7790-c514-11d1-b42b-00805fc1270e},asyncmac,{ad498944-762f-11d0-8dcb-00c04fc3358c},X:\windows\INF\netrasa.inf,Ndis-Mp-AsyncMac) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyDocs (0) -> TROUVÉ
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
    [HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [STARTUP][Rans.Gendarm] runctf.lnk @Administrateur : X:\Windows\System32\rundll32.exe|c:\docume~1\admini~1\2978406.dll,M1N1 -> TROUVÉ
    [STARTUP][Rans.Gendarm] runctf.lnk @All Users : X:\Windows\System32\rundll32.exe|c:\docume~1\admini~1\2978406.dll,M1N1 -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤
    -> C:\windows\system32\config\SOFTWARE
    -> C:\windows\system32\config\SYSTEM
    -> C:\Documents and Settings\Admin\NTUSER.DAT
    -> C:\Documents and Settings\Administrateur\NTUSER.DAT
    -> C:\Documents and Settings\Default User\NTUSER.DAT
    -> C:\Documents and Settings\Kronthal\NTUSER.DAT
    -> C:\Documents and Settings\LocalService\NTUSER.DAT
    -> C:\Documents and Settings\NetworkService\NTUSER.DAT

    ¤¤¤ Infection : Rans.Gendarm ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> X:\windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 9298dd3844241666fefaa25ce2d8662d
    [BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
    --- User ---
    [MBR] 21261196d42eb731e5e7417e618b7ba5
    [BSP] 964a47a228c5ecfa38b8101cbeb220ff : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 15292 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1]_S_28022013_141916.txt >>
    RKreport[1]_S_28022013_141916.txt
    0
  4. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK mais tu n' as pas lancé RK en mode suppression

    * Quitte tous les programmes en cours
    * Lance RogueKiller.exe.
    * Attendre la fin du Prescan ...
    * Clique sur Scan.
    * A la fin du scan Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse

    Smart
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mdk727377 Messages postés 17 Statut Membre
     
    Et voilà:

    RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Système [Droits d'admin]
    Mode : Suppression -- Date : 28/02/2013 15:41:59
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 15 ¤¤¤
    [RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : iessetup (X:\Windows\system32\rundll32.exe "X:\Program Files\Internet Explorer\iessetup.dll",LaunchProcessInputFiles ) -> SUPPRIMÉ
    [RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : wmssetup (X:\Windows\system32\rundll32.exe "X:\Program Files\Windows Media Player\wmssetup.dll",LaunchProcessInputFiles ) -> SUPPRIMÉ
    [RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : ASYNCMAC (rundll32.exe streamci,StreamingDeviceSetup {eeab7790-c514-11d1-b42b-00805fc1270e},asyncmac,{ad498944-762f-11d0-8dcb-00c04fc3358c},X:\windows\INF\netrasa.inf,Ndis-Mp-AsyncMac) -> SUPPRIMÉ
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
    [HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
    [HJ SMENU] HKLM\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
    [HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤
    -> C:\windows\system32\config\SOFTWARE
    -> C:\windows\system32\config\SYSTEM
    -> C:\Documents and Settings\Admin\NTUSER.DAT
    -> C:\Documents and Settings\Administrateur\NTUSER.DAT
    -> C:\Documents and Settings\Default User\NTUSER.DAT
    -> C:\Documents and Settings\Kronthal\NTUSER.DAT
    -> C:\Documents and Settings\LocalService\NTUSER.DAT
    -> C:\Documents and Settings\NetworkService\NTUSER.DAT

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> X:\windows\system32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 9298dd3844241666fefaa25ce2d8662d
    [BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
    --- User ---
    [MBR] 21261196d42eb731e5e7417e618b7ba5
    [BSP] 964a47a228c5ecfa38b8101cbeb220ff : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 15292 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2]_D_28022013_154159.txt >>
    RKreport[1]_S_28022013_141916.txt ; RKreport[2]_D_28022013_154159.txt
    0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK redémarre normalement le PC et dis moi si tu as toujours l' écran Ministère de l'Intérieur.

    Si c'est OUI ==> Tu postes le rapport OTL que tu as fait sous OTLPE

    Si c'est NON tu vas faire ceci:

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Smart
    0
  8. mdk727377 Messages postés 17 Statut Membre
     
    J'avais deja essayé de le redemarrer mais sans succés, je retente le coup..
    L'ecran du ministére est tjrs là, je poste le rapport OTL :

    OTL logfile created on: 28/02/2013 14:29:28 - Run
    OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Program Files\OTLPE
    Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
    Internet Explorer (Version = 8.0.6001.18702)
    Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

    2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 70,00% Memory free
    2,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free
    Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
    Drive C: | 39,06 Gb Total Space | 21,84 Gb Free Space | 55,92% Space Free | Partition Type: NTFS
    Drive D: | 35,44 Gb Total Space | 31,25 Gb Free Space | 88,18% Space Free | Partition Type: NTFS
    Drive E: | 306,32 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
    Drive X: | 256,04 Mb Total Space | 253,61 Mb Free Space | 99,05% Space Free | Partition Type: NTFS

    Computer Name: MININT-UAPU47H | User Name: Système
    Boot Mode: Normal | Scan Mode: All users
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
    Using ControlSet: ControlSet004

    [color=#E56717]========== Win32 Services (SafeList) ==========[/color]

    SRV - File not found [Auto] -- -- (OracleServiceORCL)
    SRV - File not found [Auto] -- -- (OracleOraHome92TNSListener)
    SRV - File not found [On_Demand] -- -- (OracleOraHome92SNMPPeerMasterAgent)
    SRV - File not found [On_Demand] -- -- (OracleOraHome92SNMPPeerEncapsulator)
    SRV - File not found [On_Demand] -- -- (OracleOraHome92PagingServer)
    SRV - File not found [On_Demand] -- -- (OracleOraHome92HTTPServer)
    SRV - File not found [On_Demand] -- -- (OracleOraHome92ClientCache)
    SRV - File not found [Auto] -- -- (OracleOraHome92Agent)
    SRV - File not found [Auto] -- -- (OracleMTSRecoveryService)
    SRV - [2013/02/13 14:36:41 | 000,100,352 | ---- | M] () [Auto] -- C:\Documents and Settings\Administrateur\2978406.dll -- (winmgmt)
    SRV - [2013/02/08 14:02:57 | 000,251,248 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
    SRV - [2012/09/12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
    SRV - [2012/07/16 15:37:24 | 002,677,160 | ---- | M] (TeamViewer GmbH) [Auto] -- C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7)
    SRV - [2012/06/22 09:32:12 | 000,625,816 | ---- | M] (Pandora.TV) [Auto] -- C:\Program Files\PANDORA.TV\PanService\PandoraService.exe -- (PanService)
    SRV - [2011/11/25 15:36:00 | 000,311,928 | ---- | M] (CybelSoft) [On_Demand] -- C:\Program Files\ma-config.com\maconfservice.exe -- (maconfservice)
    SRV - [2011/05/23 15:51:00 | 000,079,872 | ---- | M] () [Auto] -- C:\Program Files\Xerox Office Printing\WorkCentre SSW\PrintingScout\xrksmdb.exe -- (XRNADB)
    SRV - [2007/09/05 21:25:04 | 000,204,800 | ---- | M] (IDT, Inc.) [Auto] -- C:\WINDOWS\system32\stacsv.exe -- (STacSV)
    SRV - [2004/02/27 16:51:50 | 000,101,136 | ---- | M] () [On_Demand] -- C:\oracle\oradev6i\BIN\ONRSD80.EXE -- (OracleClientCache80)

    [color=#E56717]========== Driver Services (SafeList) ==========[/color]

    DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
    DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
    DRV - File not found [Kernel | System] -- -- (PCIDump)
    DRV - File not found [Kernel | System] -- -- (obmxhlgm)
    DRV - File not found [Kernel | System] -- -- (MpKsl475fea35)
    DRV - File not found [Kernel | System] -- -- (lbrtfdc)
    DRV - File not found [Kernel | System] -- -- (jjxsgmqd)
    DRV - File not found [Kernel | System] -- -- (i2omgmt)
    DRV - File not found [Kernel | System] -- -- (Changer)
    DRV - [2013/02/26 13:17:22 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
    DRV - [2011/07/21 18:55:50 | 000,016,640 | ---- | M] (CybelSoft) [Kernel | On_Demand] -- C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys -- (driverhardwarev2)
    DRV - [2008/04/18 10:28:10 | 000,384,608 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\WPN111.sys -- (WPN111)
    DRV - [2007/09/05 21:25:30 | 001,246,456 | ---- | M] (IDT, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
    DRV - [2006/06/29 11:35:04 | 002,410,076 | R--- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
    DRV - [2003/07/24 11:10:34 | 000,017,149 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\DNINDIS5.sys -- (DNINDIS5)

    [color=#E56717]========== Standard Registry (SafeList) ==========[/color]

    [color=#E56717]========== Internet Explorer ==========[/color]

    IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

    IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

    IE - HKU\Administrateur_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    IE - HKU\Administrateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

    IE - HKU\Kronthal_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

    FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
    FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
    FF - HKLM\Software\MozillaPlugins\@ma-config.com/HardwareDetection: C:\Program Files\ma-config.com\nphardwaredetection.dll (Cybelsoft)
    FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
    FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
    FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
    FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
    FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

    FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010/07/15 15:42:19 | 000,000,000 | ---D | M]
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013/01/09 07:55:46 | 000,000,000 | ---D | M]

    [2011/06/29 14:04:37 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
    [2011/06/29 14:04:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
    [2011/05/04 03:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
    [2009/12/22 04:51:01 | 000,001,516 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazon-france.xml
    [2009/12/22 04:51:01 | 000,001,822 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\cnrtl-tlfi-fr.xml
    [2009/12/22 04:51:01 | 000,000,757 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-france.xml
    [2009/12/22 04:51:01 | 000,001,426 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-fr.xml
    [2009/12/22 04:51:01 | 000,000,652 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-france.xml

    O1 HOSTS File: ([2012/12/18 11:47:23 | 000,444,893 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
    O1 - Hosts: 127.0.0.1 www.007guard.com
    O1 - Hosts: 127.0.0.1 007guard.com
    O1 - Hosts: 127.0.0.1 008i.com
    O1 - Hosts: 127.0.0.1 www.008k.com
    O1 - Hosts: 127.0.0.1 008k.com
    O1 - Hosts: 127.0.0.1 www.00hq.com
    O1 - Hosts: 127.0.0.1 00hq.com
    O1 - Hosts: 127.0.0.1 010402.com
    O1 - Hosts: 127.0.0.1 www.032439.com
    O1 - Hosts: 127.0.0.1 032439.com
    O1 - Hosts: 127.0.0.1 www.0scan.com
    O1 - Hosts: 127.0.0.1 0scan.com
    O1 - Hosts: 127.0.0.1 1000gratisproben.com
    O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
    O1 - Hosts: 127.0.0.1 1001namen.com
    O1 - Hosts: 127.0.0.1 www.1001namen.com
    O1 - Hosts: 127.0.0.1 www.100888290cs.com
    O1 - Hosts: 127.0.0.1 100888290cs.com
    O1 - Hosts: 127.0.0.1 100sexlinks.com
    O1 - Hosts: 127.0.0.1 www.100sexlinks.com
    O1 - Hosts: 127.0.0.1 www.10sek.com
    O1 - Hosts: 127.0.0.1 10sek.com
    O1 - Hosts: 127.0.0.1 1-2005-search.com
    O1 - Hosts: 127.0.0.1 www.1-2005-search.com
    O1 - Hosts: 127.0.0.1 www.123fporn.info
    O1 - Hosts: 15281 more lines...
    O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
    O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
    O2 - BHO: (Programme d'aide de l'Assistant de connexion Windows Live) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
    O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
    O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
    O4 - HKLM..\Run: [IDTSysTrayApp] C:\WINDOWS\sttray.exe (IDT, Inc.)
    O4 - HKLM..\Run: [ISUSScheduler] C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
    O4 - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
    O4 - Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\runctf.lnk = X:\Windows\System32\rundll32.exe (Microsoft Corporation)
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
    O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\Kronthal_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1263889672234 (MUWebControl Class)
    O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://www.ma-config.com/plugins/MaConfig_5_2_2_0.cab ("Ma-Config.com control)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
    O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
    O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
    O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
    O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
    O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    O24 - Desktop Components:0 (Ma page d'accueil) - About:Home
    O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Colline verdoyante.bmp
    O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Colline verdoyante.bmp
    O32 - HKLM CDRom: AutoRun - 1
    O32 - AutoRun File - [2010/01/18 16:07:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
    O34 - HKLM BootExecute: (autocheck autochk *) - File not found
    O35 - HKLM\..comfile [open] -- "%1" %*
    O35 - HKLM\..exefile [open] -- "%1" %*
    O37 - HKLM\...com [@ = comfile] -- "%1" %*
    O37 - HKLM\...exe [@ = exefile] -- "%1" %*

    NetSvcs: 6to4 - File not found
    NetSvcs: Ias - File not found
    NetSvcs: Iprip - File not found
    NetSvcs: Irmon - File not found
    NetSvcs: NWCWorkstation - File not found
    NetSvcs: Nwsapagent - File not found
    NetSvcs: Sharedaccess - File not found
    NetSvcs: WmdmPmSp - File not found
    NetSvcs: winmgmt - C:\Documents and Settings\Administrateur\2978406.dll ()

    MsConfig - StartUpFolder: C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^MOH.lnk - - File not found
    MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Image Retriever.lnk - - File not found
    MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NETGEAR WPN111 Smart Wizard.lnk - C:\Program Files\NETGEAR\WPN111\WPN111.exe - (NETGEAR)
    MsConfig - StartUpReg: [b]DocuPrint 6015N RUN[/b] - hkey= - key= - C:\Program Files\Xerox Office Printing\WorkCentre SSW\PrintingScout\xrksmRun.exe ()
    MsConfig - StartUpReg: [b]Launcher6015N[/b] - hkey= - key= - C:\Program Files\Xerox Office Printing\WorkCentre SSW\Launcher\xrlaunch.exe (Xerox)
    MsConfig - StartUpReg: [b]StatusAutoRun6015N[/b] - hkey= - key= - File not found
    MsConfig - StartUpReg: [b]swg[/b] - hkey= - key= - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
    MsConfig - State: "system.ini" - 0
    MsConfig - State: "win.ini" - 0
    MsConfig - State: "bootini" - 0
    MsConfig - State: "services" - 0
    MsConfig - State: "startup" - 2

    SafeBootMin: MsMpSvc - C:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)

    SafeBootNet: MsMpSvc - C:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)

    ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
    ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Rendu VML (Vector Graphics Rendering)
    ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
    ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
    ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
    ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
    ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Liaison de données Dynamic HTML pour Java
    ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
    ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
    ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Création avancée
    ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
    ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
    ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
    ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
    ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
    ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - Classes Java DirectAnimation
    ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
    ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Mise à jour de sécurité pour Windows XP (KB923789)
    ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
    ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
    ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
    ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
    ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
    ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
    ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Dossiers Web
    ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
    ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
    ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
    ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
    ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate
    ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
    ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Planificateur de tâches
    ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
    ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
    ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
    ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
    ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
    ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
    ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
    ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
    ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
    ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

    Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
    Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
    Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
    Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
    Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
    Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
    Drivers32: VIDC.DVSD - C:\WINDOWS\System32\pdvcodec.dll (Matsushita Electric Industrial Co., Ltd.)
    Drivers32: VIDC.I420 - i420vfw.dll File not found
    Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
    Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
    Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
    Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
    Drivers32: vidc.yv12 - yv12vfw.dll File not found
    Drivers32: wave1 - C:\WINDOWS\System32\serwvdrv.dll (Microsoft Corporation)
    PhysicalDisk0 MBR saved to C:\Physical0MBR.bin

    [color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

    [2013/02/26 13:17:21 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
    [2013/02/26 11:38:29 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
    [2013/02/19 20:12:22 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Administrateur\Recent
    [2013/02/14 08:07:55 | 000,043,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\ttiopppe.sys
    [9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\Documents and Settings\Administrateur\*.tmp files -> C:\Documents and Settings\Administrateur\*.tmp -> ]

    [color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

    [2013/02/28 14:31:31 | 000,000,512 | ---- | M] () -- C:\Physical0MBR.bin
    [2013/02/28 14:13:05 | 095,023,320 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\6048792.pad
    [2013/02/28 14:13:02 | 000,002,875 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\6048792.js
    [2013/02/28 14:13:02 | 000,000,778 | ---- | M] () -- C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\runctf.lnk
    [2013/02/28 14:12:22 | 000,001,068 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
    [2013/02/28 14:12:20 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
    [2013/02/28 14:12:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
    [2013/02/26 17:40:10 | 000,001,072 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
    [2013/02/26 15:03:11 | 000,001,002 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
    [2013/02/26 13:32:30 | 000,000,450 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{E09A4B7B-4216-4339-82DC-9C7A04EFFAA0}.job
    [2013/02/26 13:17:22 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
    [2013/02/20 08:06:08 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
    [2013/02/14 08:07:56 | 000,043,600 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\ttiopppe.sys
    [2013/02/14 08:06:32 | 000,157,952 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
    [2013/02/13 14:36:41 | 000,100,352 | ---- | M] () -- C:\Documents and Settings\Administrateur\2978406.dll
    [2013/02/13 13:02:12 | 000,000,216 | ---- | M] () -- C:\WINDOWS\tasks\sauvegarde.job
    [2013/02/13 13:01:14 | 004,460,270 | ---- | M] () -- C:\exportoracleKRONTHAL.7z
    [2013/02/13 13:01:14 | 000,000,032 | ---- | M] () -- C:\travauxKRONTHAL.7z
    [2013/02/13 11:48:13 | 000,000,226 | ---- | M] () -- C:\WINDOWS\hpbafd.ini
    [2013/02/13 11:26:58 | 000,230,142 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\Spécification sac 5 kg Rothrist.pdf
    [2013/02/13 11:26:38 | 000,234,335 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\Specification sac 10 kg Rothrist.pdf
    [2013/02/13 09:36:11 | 000,288,023 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\Tableau amortissement pret mouli.pdf
    [2013/02/13 09:33:57 | 000,064,595 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\Tableau amortissement pret moulin 02.2013.pdf
    [2013/02/08 14:02:55 | 000,697,712 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
    [2013/02/08 14:02:55 | 000,074,096 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
    [2013/02/07 09:31:42 | 000,000,710 | ---- | M] () -- C:\Documents and Settings\Administrateur\Bureau\KMPlayer.lnk
    [2013/02/07 09:30:34 | 026,039,992 | ---- | M] () -- C:\Documents and Settings\Administrateur\Bureau\KMPlayer_3-5-0-77_00_20130123015648.exe
    [2013/02/06 08:27:18 | 002,763,498 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\img-130206082718-001.tif
    [2013/01/30 11:53:21 | 000,232,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\MpSigStub.exe
    [2013/01/30 11:47:38 | 000,044,138 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\NOTE BAPTISTE 30.01.2013[1].pdf
    [9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\Documents and Settings\Administrateur\*.tmp files -> C:\Documents and Settings\Administrateur\*.tmp -> ]

    [color=#E56717]========== Files Created - No Company Name ==========[/color]

    [2013/02/28 14:31:31 | 000,000,512 | ---- | C] () -- C:\Physical0MBR.bin
    [2013/02/28 14:12:59 | 000,000,778 | ---- | C] () -- C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\runctf.lnk
    [2013/02/26 11:23:31 | 000,002,875 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\6048792.js
    [2013/02/13 14:36:43 | 095,023,320 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\6048792.pad
    [2013/02/13 14:36:40 | 000,100,352 | ---- | C] () -- C:\Documents and Settings\Administrateur\2978406.dll
    [2013/02/13 11:26:58 | 000,230,142 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\Spécification sac 5 kg Rothrist.pdf
    [2013/02/13 11:26:37 | 000,234,335 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\Specification sac 10 kg Rothrist.pdf
    [2013/02/13 09:36:10 | 000,288,023 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\Tableau amortissement pret mouli.pdf
    [2013/02/13 09:33:57 | 000,064,595 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\Tableau amortissement pret moulin 02.2013.pdf
    [2013/02/07 09:30:04 | 026,039,992 | ---- | C] () -- C:\Documents and Settings\Administrateur\Bureau\KMPlayer_3-5-0-77_00_20130123015648.exe
    [2013/02/06 08:27:18 | 002,763,498 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\img-130206082718-001.tif
    [2013/01/30 11:47:38 | 000,044,138 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\NOTE BAPTISTE 30.01.2013[1].pdf
    [2012/10/01 09:39:27 | 000,000,226 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
    [2012/09/07 12:51:30 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\TAKDSDecoder.dll
    [2012/08/17 15:06:08 | 000,000,028 | ---- | C] () -- C:\WINDOWS\MotionDVSTUDIO.INI
    [2012/06/13 10:49:44 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\xrfk2aJBF.DLL
    [2012/06/13 10:49:44 | 000,019,456 | ---- | C] () -- C:\WINDOWS\System32\xrhk2aLM.DLL
    [2012/06/12 07:32:42 | 001,695,232 | ---- | C] () -- C:\WINDOWS\System32\xrqsreg.dll
    [2012/02/15 05:24:46 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
    [2011/06/29 13:17:59 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
    [2011/06/29 13:17:59 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
    [2011/06/29 13:17:56 | 000,155,624 | ---- | C] () -- C:\WINDOWS\System32\drivers\ar5523.bin
    [2011/03/15 12:24:46 | 000,001,598 | ---- | C] () -- C:\WINDOWS\System32\CommonSetting.ini
    [2010/07/15 15:42:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
    [2010/07/07 13:22:39 | 000,014,848 | ---- | C] () -- C:\Documents and Settings\Administrateur\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    [2010/01/19 09:08:02 | 000,254,464 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT2X.DLL
    [2010/01/19 09:04:32 | 000,000,385 | ---- | C] () -- C:\WINDOWS\ODBC.INI
    [2010/01/19 08:36:20 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
    [2010/01/18 16:57:45 | 000,004,205 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
    [2010/01/18 16:56:28 | 000,157,952 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
    [2010/01/18 16:10:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
    [2010/01/18 16:04:37 | 000,021,892 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
    [2006/06/29 11:35:02 | 001,111,429 | R--- | C] () -- C:\WINDOWS\uninstallMOH.exe
    [2005/03/29 00:22:59 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
    [2005/03/29 00:22:59 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
    [2004/08/05 11:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
    [2004/08/05 11:00:00 | 000,367,658 | ---- | C] () -- C:\WINDOWS\System32\perfh00C.dat
    [2004/08/05 11:00:00 | 000,322,810 | ---- | C] () -- C:\WINDOWS\System32\perfi00C.dat
    [2004/08/05 11:00:00 | 000,311,604 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
    [2004/08/05 11:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
    [2004/08/05 11:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
    [2004/08/05 11:00:00 | 000,048,616 | ---- | C] () -- C:\WINDOWS\System32\perfc00C.dat
    [2004/08/05 11:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
    [2004/08/05 11:00:00 | 000,039,992 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
    [2004/08/05 11:00:00 | 000,034,108 | ---- | C] () -- C:\WINDOWS\System32\perfd00C.dat
    [2004/08/05 11:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
    [2004/08/05 11:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
    [2004/08/05 11:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
    [2004/08/05 11:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
    [2001/07/31 03:17:12 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
    [1999/07/30 09:24:34 | 000,000,218 | ---- | C] () -- C:\WINDOWS\oraodbc.ini

    [color=#E56717]========== LOP Check ==========[/color]

    [2012/06/15 10:11:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\GetRightToGo
    [2010/06/17 07:25:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org
    [2012/06/12 10:27:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\ScanSoft
    [2012/06/12 08:28:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Zeon
    [2012/06/04 06:40:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Zzzzzzz
    [2011/10/07 08:25:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\AMMYY
    [2012/08/03 15:06:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ask
    [2012/06/15 09:38:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ESET
    [2012/06/14 13:56:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ma-config.com
    [2012/08/17 14:28:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Panasonic
    [2012/06/12 10:27:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ScanSoft
    [2012/12/18 08:54:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
    [2012/06/12 08:28:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Zeon
    [2013/02/13 13:02:12 | 000,000,216 | ---- | M] () -- C:\WINDOWS\Tasks\sauvegarde.job
    [2013/02/26 13:32:30 | 000,000,450 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{E09A4B7B-4216-4339-82DC-9C7A04EFFAA0}.job

    [color=#E56717]========== Purity Check ==========[/color]

    [color=#E56717]========== Custom Scans ==========[/color]

    Invalid Environment Variable: %ALLUSERSPROFILE%\Application Data\*.exe

    Invalid Environment Variable: %APPDATA%\*.exe

    [color=#A23BEC]< %SYSTEMDRIVE%\*.exe >[/color]

    [color=#A23BEC]< %systemroot%\*. /mp /s >[/color]

    [color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color]
    [9 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

    [color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color]

    [color=#A23BEC]< %systemroot%\system32\drivers\*.sys /lockedfiles >[/color]

    [color=#A23BEC]< %systemroot%\System32\config\*.sav >[/color]
    [2010/01/18 16:55:19 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
    [2010/01/18 16:55:19 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
    [2010/01/18 16:55:19 | 000,446,464 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav

    [color=#A23BEC]< MD5 for: EXPLORER.EXE >[/color]
    [2004/08/05 11:00:00 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=4C33E5B9A6197B6ED215F6CFBA0A2DAA -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
    [2008/04/13 19:34:04 | 001,037,824 | ---- | M] (Microsoft Corporation) MD5=F2317622D29F9FF0F88AEECD5F60F0DD -- C:\WINDOWS\explorer.exe
    [2008/04/13 19:34:04 | 001,037,824 | ---- | M] (Microsoft Corporation) MD5=F2317622D29F9FF0F88AEECD5F60F0DD -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

    [color=#A23BEC]< MD5 for: WINLOGON.EXE >[/color]
    [2012/09/29 19:54:26 | 000,218,184 | ---- | M] () MD5=8846E87210AD131CF71E3E2E49F647B0 -- C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
    [2004/08/05 11:00:00 | 000,506,368 | ---- | M] (Microsoft Corporation) MD5=D2DE785AEAB0BB8CA4C14A8A199DBE4E -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
    [2008/04/13 19:34:30 | 000,512,000 | ---- | M] (Microsoft Corporation) MD5=DD73D6B9F6B4CB630CF35B438B540174 -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
    [2008/04/13 19:34:30 | 000,512,000 | ---- | M] (Microsoft Corporation) MD5=DD73D6B9F6B4CB630CF35B438B540174 -- C:\WINDOWS\system32\winlogon.exe

    [color=#A23BEC]< CREATERESTOREPOINT >[/color]

    [color=#A23BEC]< nslookup www.google.fr /c >[/color]
    Serveur : UnKnown
    Address: 127.0.0.1

    [color=#E56717]========== Alternate Data Streams ==========[/color]

    @Alternate Data Stream - 684 bytes -> C:\WINDOWS\System32\drivers\ttiopppe.sys:changelist
    @Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34
    < End of report >
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    - Double clique sur OTLPE
    - Si tu obtienS la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
    - Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES
    - Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES
    - Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK

    OTL se lance
    Copiez ce texte en gras
    - Coller le texte dans la partie Custom Scans/Files

    --------------------------------------------------
    :OTL
    SRV - [2012/06/22 09:32:12 | 000,625,816 | ---- | M] (Pandora.TV) [Auto] -- C:\Program Files\PANDORA.TV\PanService\PandoraService.exe -- (PanService)
    SRV - [2013/02/13 14:36:41 | 000,100,352 | ---- | M] () [Auto] -- C:\Documents and Settings\Administrateur\2978406.dll -- (winmgmt)
    NetSvcs: winmgmt - C:\Documents and Settings\Administrateur\2978406.dll ()
    [2013/02/28 14:13:05 | 095,023,320 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\6048792.pad
    [2013/02/28 14:13:02 | 000,002,875 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\6048792.js
    [2013/02/28 14:13:02 | 000,000,778 | ---- | M] () -- C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\runctf.lnk

    :commands
    [emptytemp]


    -------------------------------------------------
    - Clique sur Run Fix en haut de la fenêtre
    - Si une fenêtre s'ouvre avec un message : No Fix has been Provided! Do you want to load it from a file ; cliquer sur YES
    - Coller le contenu du rapport dans la réponseNote : La rapport se trouve dans C:\OTL

    Ensuite redémarre le PC normalement et dis moi si tu as toujours le ransomware Gendarmerie

    Smart
    0
  10. mdk727377 Messages postés 17 Statut Membre
     
    Mon antivirus me detecte plusieurs chevaux de troie,
    SpyHunter me détecte 5 menaces
    Rogue killer me détecte la menace Zero Access (rapport ci joint ) :
    Je supprime et relance .

    RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Administrateur [Droits d'admin]
    Mode : Recherche -- Date : 01/03/2013 15:12:54
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FOLDER] U : C:\WINDOWS\Installer\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\U --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\Documents and Settings\Administrateur\Local Settings\Application Data\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\U --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$88e29972f4bb307d3bf9aade9ce33a94\U --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-117609710-2049760794-839522115-500\$88e29972f4bb307d3bf9aade9ce33a94\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\WINDOWS\Installer\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\L --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\Documents and Settings\Administrateur\Local Settings\Application Data\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\L --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$88e29972f4bb307d3bf9aade9ce33a94\L --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-117609710-2049760794-839522115-500\$88e29972f4bb307d3bf9aade9ce33a94\L --> TROUVÉ

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 9298dd3844241666fefaa25ce2d8662d
    [BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: +++++
    --- User ---
    [MBR] 21261196d42eb731e5e7417e618b7ba5
    [BSP] 964a47a228c5ecfa38b8101cbeb220ff : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 15292 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2]_S_01032013_151254.txt >>
    RKreport[1]_S_01032013_110602.txt ; RKreport[2]_S_01032013_151254.txt
    0
  11. mdk727377 Messages postés 17 Statut Membre
     
    J'ai supprimé dans RK mais Zero Access est tjrs là ci dessous le rapport, j'execute MalwaresBytes

    RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Administrateur [Droits d'admin]
    Mode : Suppression -- Date : 01/03/2013 16:28:08
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FOLDER] ROOT : C:\WINDOWS\Installer\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Documents and Settings\Administrateur\Local Settings\Application Data\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$88e29972f4bb307d3bf9aade9ce33a94\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-117609710-2049760794-839522115-500\$88e29972f4bb307d3bf9aade9ce33a94\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\WINDOWS\Installer\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\L --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\Documents and Settings\Administrateur\Local Settings\Application Data\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\L --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$88e29972f4bb307d3bf9aade9ce33a94\L --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-117609710-2049760794-839522115-500\$88e29972f4bb307d3bf9aade9ce33a94\L --> SUPPRIMÉ

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (\??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys @ 0xBA64C700)

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 9298dd3844241666fefaa25ce2d8662d
    [BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: +++++
    --- User ---
    [MBR] 21261196d42eb731e5e7417e618b7ba5
    [BSP] 964a47a228c5ecfa38b8101cbeb220ff : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 15292 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[3]_D_01032013_162808.txt >>
    RKreport[2]_S_01032013_151254.txt ; RKreport[3]_D_01032013_162808.txt
    0
  12. mdk727377 Messages postés 17 Statut Membre
     
    J'ai fait tout ce que tu as dit hier, j'ai aussi posté le rapport .
    Visiblement tu n'as pas eu mon post.
    Pour résumer la page ministére n'est plus présente, j'ai relancé RK qui me detecte "Zero Acces".
    0
  13. mdk727377 Messages postés 17 Statut Membre
     
    Et aprés avoir fait "suppression" Zero Acces est encore présent
    0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. je comprends mieux.
    Est-ce que tu peux poster le rapport se suppression OTL
    Tu peux l'héberger sur ce site et me donner le lien pour y accéder
    http://pjjoint.malekal.com/

    Tu as bien fait de passer MBAM après RK, j'attends le rapport

    Smart
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK :-)
    0
  16. mdk727377 Messages postés 17 Statut Membre
     
    Ci joint le rapport de MBAM

    Malwarebytes Anti-Malware 1.70.0.1100
    www.malwarebytes.org

    Database version: v2013.03.01.06

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    Administrateur :: KRONTHAL [administrator]

    01/03/2013 15:27:30
    mbam-log-2013-03-01 (15-27-30).txt

    Scan type: Full scan (C:\|D:\|E:\|)
    Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
    Scan options disabled: P2P
    Objects scanned: 359508
    Time elapsed: 1 hour(s), 3 minute(s), 43 second(s)

    Memory Processes Detected: 0
    (No malicious items detected)

    Memory Modules Detected: 0
    (No malicious items detected)

    Registry Keys Detected: 0
    (No malicious items detected)

    Registry Values Detected: 0
    (No malicious items detected)

    Registry Data Items Detected: 0
    (No malicious items detected)

    Folders Detected: 0
    (No malicious items detected)

    Files Detected: 0
    (No malicious items detected)

    (end)
    0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu a bien lancé MBAM depuis la même session qu'au lancement de RK ?

    Smart
    0
  18. mdk727377 Messages postés 17 Statut Membre
     
    Bonjour

    J'ai bien lancé MBAM depuis la même session.
    Ce matin mon ordi a telechargé les mises à jour Windows, j'ai lancé RK dont voici le rapport :
    RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : Administrateur [Droits d'admin]
    Mode : Recherche -- Date : 02/03/2013 06:55:21
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100888290cs.com
    127.0.0.1 100sexlinks.com
    127.0.0.1 www.100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 9298dd3844241666fefaa25ce2d8662d
    [BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[4]_S_02032013_065521.txt >>
    RKreport[2]_S_01032013_151254.txt ; RKreport[3]_D_01032013_162808.txt ; RKreport[4]_S_02032013_065521.txt
    0
  19. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. C'est Impec

    Désinstalle spybot. Il ne sert à rien et ne fait que ralentir ta machine
    ==> https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6

    Ensuite on va faire un diagnostic du PC afin de voir s'il y a des restes et/ou d'autres infections

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    - Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur le tournevis à droite et coche toutes les cases
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
    - Clique sur Parcourir et cherche le répertoire C:\ZHP
    - Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
    - Ensuite Clique sur "Envoyer le fichier".
    - Copie le lien obtenu dans ta réponse.

    Smart
    0
  • 1
  • 2