PC infecté par le virus gendarmerie

Résolu/Fermé
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013 - 28 févr. 2013 à 10:14
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 5 mars 2013 à 13:45
Bonjour,


Mon PC est bloqué sur une page du ministére de l'intérieur me disant de payer 100 euros afin de le débloquer.
Le mode sans échec ne fonctionne pas, j'ai donc graver un CD avec OTLPE, et demarrer mon PC, ensuite j'ai lancer Rogue killer ( qui me detecte Rans gendarm) et fait suppression.
Par contre en redemarrant , la page du ministére de l'intérieur s'affiche à nouveau, j'en déduit que le virus n'a pas été éradiqué.
Que puis je faire ?
A voir également:

29 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 28/02/2013 à 10:28
Bonjour,

Est-ce que tu peux poster le rapport RogueKiller ?

Ensuite démarre le PC avec le CD OTLPE.

- Double clique sur OTLPE
- Si tu obtienS la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES
- Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK

OTL se lance

- Copie et colle les lignes en gras ci-dessous dans la partie inférieure d'OTL "Custom Scan"

--------------------------------------------------------------------------
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0

-------------------------------------------------------------------------
puis clique sur Run Scan et poste le rapport


Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
1
1@@9 Messages postés 252 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 31 janvier 2016 27
28 févr. 2013 à 10:19
Bonjour essai ça
https://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque
0
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
28 févr. 2013 à 14:32
Merci 1@@9 pour ta réponse mais cela ne marche pas.
Concernant la réponse de Smart91, je te poste le rapport de RK, et j'ai lancé OTL.

RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Recherche -- Date : 28/02/2013 14:19:16
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 17 ¤¤¤
[RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : iessetup (X:\Windows\system32\rundll32.exe "X:\Program Files\Internet Explorer\iessetup.dll",LaunchProcessInputFiles ) -> TROUVÉ
[RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : wmssetup (X:\Windows\system32\rundll32.exe "X:\Program Files\Windows Media Player\wmssetup.dll",LaunchProcessInputFiles ) -> TROUVÉ
[RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : ASYNCMAC (rundll32.exe streamci,StreamingDeviceSetup {eeab7790-c514-11d1-b42b-00805fc1270e},asyncmac,{ad498944-762f-11d0-8dcb-00c04fc3358c},X:\windows\INF\netrasa.inf,Ndis-Mp-AsyncMac) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyDocs (0) -> TROUVÉ
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyPics (0) -> TROUVÉ
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[STARTUP][Rans.Gendarm] runctf.lnk @Administrateur : X:\Windows\System32\rundll32.exe|c:\docume~1\admini~1\2978406.dll,M1N1 -> TROUVÉ
[STARTUP][Rans.Gendarm] runctf.lnk @All Users : X:\Windows\System32\rundll32.exe|c:\docume~1\admini~1\2978406.dll,M1N1 -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SOFTWARE
-> C:\windows\system32\config\SYSTEM
-> C:\Documents and Settings\Admin\NTUSER.DAT
-> C:\Documents and Settings\Administrateur\NTUSER.DAT
-> C:\Documents and Settings\Default User\NTUSER.DAT
-> C:\Documents and Settings\Kronthal\NTUSER.DAT
-> C:\Documents and Settings\LocalService\NTUSER.DAT
-> C:\Documents and Settings\NetworkService\NTUSER.DAT

¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> X:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 9298dd3844241666fefaa25ce2d8662d
[BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 21261196d42eb731e5e7417e618b7ba5
[BSP] 964a47a228c5ecfa38b8101cbeb220ff : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 15292 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_28022013_141916.txt >>
RKreport[1]_S_28022013_141916.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
28 févr. 2013 à 15:29
OK mais tu n' as pas lancé RK en mode suppression

* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse


Smart
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
28 févr. 2013 à 15:43
Et voilà:

RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Suppression -- Date : 28/02/2013 15:41:59
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 15 ¤¤¤
[RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : iessetup (X:\Windows\system32\rundll32.exe "X:\Program Files\Internet Explorer\iessetup.dll",LaunchProcessInputFiles ) -> SUPPRIMÉ
[RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : wmssetup (X:\Windows\system32\rundll32.exe "X:\Program Files\Windows Media Player\wmssetup.dll",LaunchProcessInputFiles ) -> SUPPRIMÉ
[RUN][BLACKLISTDLL] HKLM\[...]\RunOnce : ASYNCMAC (rundll32.exe streamci,StreamingDeviceSetup {eeab7790-c514-11d1-b42b-00805fc1270e},asyncmac,{ad498944-762f-11d0-8dcb-00c04fc3358c},X:\windows\INF\netrasa.inf,Ndis-Mp-AsyncMac) -> SUPPRIMÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1)
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1)
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1)
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1)
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1)
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> C:\windows\system32\config\SOFTWARE
-> C:\windows\system32\config\SYSTEM
-> C:\Documents and Settings\Admin\NTUSER.DAT
-> C:\Documents and Settings\Administrateur\NTUSER.DAT
-> C:\Documents and Settings\Default User\NTUSER.DAT
-> C:\Documents and Settings\Kronthal\NTUSER.DAT
-> C:\Documents and Settings\LocalService\NTUSER.DAT
-> C:\Documents and Settings\NetworkService\NTUSER.DAT

¤¤¤ Fichier HOSTS: ¤¤¤
--> X:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 9298dd3844241666fefaa25ce2d8662d
[BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 21261196d42eb731e5e7417e618b7ba5
[BSP] 964a47a228c5ecfa38b8101cbeb220ff : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 15292 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_28022013_154159.txt >>
RKreport[1]_S_28022013_141916.txt ; RKreport[2]_D_28022013_154159.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
28 févr. 2013 à 15:53
OK redémarre normalement le PC et dis moi si tu as toujours l' écran Ministère de l'Intérieur.

Si c'est OUI ==> Tu postes le rapport OTL que tu as fait sous OTLPE

Si c'est NON tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart
0
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
28 févr. 2013 à 16:08
J'avais deja essayé de le redemarrer mais sans succés, je retente le coup..
L'ecran du ministére est tjrs là, je poste le rapport OTL :

OTL logfile created on: 28/02/2013 14:29:28 - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Program Files\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 70,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 70,00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 39,06 Gb Total Space | 21,84 Gb Free Space | 55,92% Space Free | Partition Type: NTFS
Drive D: | 35,44 Gb Total Space | 31,25 Gb Free Space | 88,18% Space Free | Partition Type: NTFS
Drive E: | 306,32 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive X: | 256,04 Mb Total Space | 253,61 Mb Free Space | 99,05% Space Free | Partition Type: NTFS

Computer Name: MININT-UAPU47H | User Name: Système
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet004

[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - File not found [Auto] -- -- (OracleServiceORCL)
SRV - File not found [Auto] -- -- (OracleOraHome92TNSListener)
SRV - File not found [On_Demand] -- -- (OracleOraHome92SNMPPeerMasterAgent)
SRV - File not found [On_Demand] -- -- (OracleOraHome92SNMPPeerEncapsulator)
SRV - File not found [On_Demand] -- -- (OracleOraHome92PagingServer)
SRV - File not found [On_Demand] -- -- (OracleOraHome92HTTPServer)
SRV - File not found [On_Demand] -- -- (OracleOraHome92ClientCache)
SRV - File not found [Auto] -- -- (OracleOraHome92Agent)
SRV - File not found [Auto] -- -- (OracleMTSRecoveryService)
SRV - [2013/02/13 14:36:41 | 000,100,352 | ---- | M] () [Auto] -- C:\Documents and Settings\Administrateur\2978406.dll -- (winmgmt)
SRV - [2013/02/08 14:02:57 | 000,251,248 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/09/12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Program Files\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2012/07/16 15:37:24 | 002,677,160 | ---- | M] (TeamViewer GmbH) [Auto] -- C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe -- (TeamViewer7)
SRV - [2012/06/22 09:32:12 | 000,625,816 | ---- | M] (Pandora.TV) [Auto] -- C:\Program Files\PANDORA.TV\PanService\PandoraService.exe -- (PanService)
SRV - [2011/11/25 15:36:00 | 000,311,928 | ---- | M] (CybelSoft) [On_Demand] -- C:\Program Files\ma-config.com\maconfservice.exe -- (maconfservice)
SRV - [2011/05/23 15:51:00 | 000,079,872 | ---- | M] () [Auto] -- C:\Program Files\Xerox Office Printing\WorkCentre SSW\PrintingScout\xrksmdb.exe -- (XRNADB)
SRV - [2007/09/05 21:25:04 | 000,204,800 | ---- | M] (IDT, Inc.) [Auto] -- C:\WINDOWS\system32\stacsv.exe -- (STacSV)
SRV - [2004/02/27 16:51:50 | 000,101,136 | ---- | M] () [On_Demand] -- C:\oracle\oradev6i\BIN\ONRSD80.EXE -- (OracleClientCache80)


[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (obmxhlgm)
DRV - File not found [Kernel | System] -- -- (MpKsl475fea35)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (jjxsgmqd)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2013/02/26 13:17:22 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2011/07/21 18:55:50 | 000,016,640 | ---- | M] (CybelSoft) [Kernel | On_Demand] -- C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys -- (driverhardwarev2)
DRV - [2008/04/18 10:28:10 | 000,384,608 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\WPN111.sys -- (WPN111)
DRV - [2007/09/05 21:25:30 | 001,246,456 | ---- | M] (IDT, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
DRV - [2006/06/29 11:35:04 | 002,410,076 | R--- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2003/07/24 11:10:34 | 000,017,149 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\DNINDIS5.sys -- (DNINDIS5)


[color=#E56717]========== Standard Registry (SafeList) ==========[/color]


[color=#E56717]========== Internet Explorer ==========[/color]



IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Administrateur_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
IE - HKU\Administrateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Kronthal_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0





FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@ma-config.com/HardwareDetection: C:\Program Files\ma-config.com\nphardwaredetection.dll (Cybelsoft)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010/07/15 15:42:19 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.5.7\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2013/01/09 07:55:46 | 000,000,000 | ---D | M]

[2011/06/29 14:04:37 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2011/06/29 14:04:38 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011/05/04 03:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2009/12/22 04:51:01 | 000,001,516 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazon-france.xml
[2009/12/22 04:51:01 | 000,001,822 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\cnrtl-tlfi-fr.xml
[2009/12/22 04:51:01 | 000,000,757 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-france.xml
[2009/12/22 04:51:01 | 000,001,426 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-fr.xml
[2009/12/22 04:51:01 | 000,000,652 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-france.xml

O1 HOSTS File: ([2012/12/18 11:47:23 | 000,444,893 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 1000gratisproben.com
O1 - Hosts: 127.0.0.1 www.1000gratisproben.com
O1 - Hosts: 127.0.0.1 1001namen.com
O1 - Hosts: 127.0.0.1 www.1001namen.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 1-2005-search.com
O1 - Hosts: 127.0.0.1 www.1-2005-search.com
O1 - Hosts: 127.0.0.1 www.123fporn.info
O1 - Hosts: 15281 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Programme d'aide de l'Assistant de connexion Windows Live) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [IDTSysTrayApp] C:\WINDOWS\sttray.exe (IDT, Inc.)
O4 - HKLM..\Run: [ISUSScheduler] C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)
O4 - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\runctf.lnk = X:\Windows\System32\rundll32.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Kronthal_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1263889672234 (MUWebControl Class)
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://www.ma-config.com/plugins/MaConfig_5_2_2_0.cab ("Ma-Config.com control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files\Fichiers communs\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Program Files\Fichiers communs\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Ma page d'accueil) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Colline verdoyante.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Colline verdoyante.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/01/18 16:07:57 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

NetSvcs: 6to4 - File not found
NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Irmon - File not found
NetSvcs: NWCWorkstation - File not found
NetSvcs: Nwsapagent - File not found
NetSvcs: Sharedaccess - File not found
NetSvcs: WmdmPmSp - File not found
NetSvcs: winmgmt - C:\Documents and Settings\Administrateur\2978406.dll ()

MsConfig - StartUpFolder: C:^Documents and Settings^Administrateur^Menu Démarrer^Programmes^Démarrage^MOH.lnk - - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Image Retriever.lnk - - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NETGEAR WPN111 Smart Wizard.lnk - C:\Program Files\NETGEAR\WPN111\WPN111.exe - (NETGEAR)
MsConfig - StartUpReg: [b]DocuPrint 6015N RUN[/b] - hkey= - key= - C:\Program Files\Xerox Office Printing\WorkCentre SSW\PrintingScout\xrksmRun.exe ()
MsConfig - StartUpReg: [b]Launcher6015N[/b] - hkey= - key= - C:\Program Files\Xerox Office Printing\WorkCentre SSW\Launcher\xrlaunch.exe (Xerox)
MsConfig - StartUpReg: [b]StatusAutoRun6015N[/b] - hkey= - key= - File not found
MsConfig - StartUpReg: [b]swg[/b] - hkey= - key= - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2

SafeBootMin: MsMpSvc - C:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)

SafeBootNet: MsMpSvc - C:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)

ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Rendu VML (Vector Graphics Rendering)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Liaison de données Dynamic HTML pour Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Création avancée
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - Classes Java DirectAnimation
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Mise à jour de sécurité pour Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Dossiers Web
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Planificateur de tâches
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: VIDC.DVSD - C:\WINDOWS\System32\pdvcodec.dll (Matsushita Electric Industrial Co., Ltd.)
Drivers32: VIDC.I420 - i420vfw.dll File not found
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.yv12 - yv12vfw.dll File not found
Drivers32: wave1 - C:\WINDOWS\System32\serwvdrv.dll (Microsoft Corporation)
PhysicalDisk0 MBR saved to C:\Physical0MBR.bin

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2013/02/26 13:17:21 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2013/02/26 11:38:29 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2013/02/19 20:12:22 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Administrateur\Recent
[2013/02/14 08:07:55 | 000,043,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\ttiopppe.sys
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Documents and Settings\Administrateur\*.tmp files -> C:\Documents and Settings\Administrateur\*.tmp -> ]

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2013/02/28 14:31:31 | 000,000,512 | ---- | M] () -- C:\Physical0MBR.bin
[2013/02/28 14:13:05 | 095,023,320 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\6048792.pad
[2013/02/28 14:13:02 | 000,002,875 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\6048792.js
[2013/02/28 14:13:02 | 000,000,778 | ---- | M] () -- C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\runctf.lnk
[2013/02/28 14:12:22 | 000,001,068 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013/02/28 14:12:20 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/02/28 14:12:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/02/26 17:40:10 | 000,001,072 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013/02/26 15:03:11 | 000,001,002 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013/02/26 13:32:30 | 000,000,450 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{E09A4B7B-4216-4339-82DC-9C7A04EFFAA0}.job
[2013/02/26 13:17:22 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2013/02/20 08:06:08 | 000,000,400 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013/02/14 08:07:56 | 000,043,600 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\ttiopppe.sys
[2013/02/14 08:06:32 | 000,157,952 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013/02/13 14:36:41 | 000,100,352 | ---- | M] () -- C:\Documents and Settings\Administrateur\2978406.dll
[2013/02/13 13:02:12 | 000,000,216 | ---- | M] () -- C:\WINDOWS\tasks\sauvegarde.job
[2013/02/13 13:01:14 | 004,460,270 | ---- | M] () -- C:\exportoracleKRONTHAL.7z
[2013/02/13 13:01:14 | 000,000,032 | ---- | M] () -- C:\travauxKRONTHAL.7z
[2013/02/13 11:48:13 | 000,000,226 | ---- | M] () -- C:\WINDOWS\hpbafd.ini
[2013/02/13 11:26:58 | 000,230,142 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\Spécification sac 5 kg Rothrist.pdf
[2013/02/13 11:26:38 | 000,234,335 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\Specification sac 10 kg Rothrist.pdf
[2013/02/13 09:36:11 | 000,288,023 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\Tableau amortissement pret mouli.pdf
[2013/02/13 09:33:57 | 000,064,595 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\Tableau amortissement pret moulin 02.2013.pdf
[2013/02/08 14:02:55 | 000,697,712 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013/02/08 14:02:55 | 000,074,096 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013/02/07 09:31:42 | 000,000,710 | ---- | M] () -- C:\Documents and Settings\Administrateur\Bureau\KMPlayer.lnk
[2013/02/07 09:30:34 | 026,039,992 | ---- | M] () -- C:\Documents and Settings\Administrateur\Bureau\KMPlayer_3-5-0-77_00_20130123015648.exe
[2013/02/06 08:27:18 | 002,763,498 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\img-130206082718-001.tif
[2013/01/30 11:53:21 | 000,232,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\MpSigStub.exe
[2013/01/30 11:47:38 | 000,044,138 | ---- | M] () -- C:\Documents and Settings\Administrateur\Mes documents\NOTE BAPTISTE 30.01.2013[1].pdf
[9 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Documents and Settings\Administrateur\*.tmp files -> C:\Documents and Settings\Administrateur\*.tmp -> ]

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2013/02/28 14:31:31 | 000,000,512 | ---- | C] () -- C:\Physical0MBR.bin
[2013/02/28 14:12:59 | 000,000,778 | ---- | C] () -- C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\runctf.lnk
[2013/02/26 11:23:31 | 000,002,875 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\6048792.js
[2013/02/13 14:36:43 | 095,023,320 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\6048792.pad
[2013/02/13 14:36:40 | 000,100,352 | ---- | C] () -- C:\Documents and Settings\Administrateur\2978406.dll
[2013/02/13 11:26:58 | 000,230,142 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\Spécification sac 5 kg Rothrist.pdf
[2013/02/13 11:26:37 | 000,234,335 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\Specification sac 10 kg Rothrist.pdf
[2013/02/13 09:36:10 | 000,288,023 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\Tableau amortissement pret mouli.pdf
[2013/02/13 09:33:57 | 000,064,595 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\Tableau amortissement pret moulin 02.2013.pdf
[2013/02/07 09:30:04 | 026,039,992 | ---- | C] () -- C:\Documents and Settings\Administrateur\Bureau\KMPlayer_3-5-0-77_00_20130123015648.exe
[2013/02/06 08:27:18 | 002,763,498 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\img-130206082718-001.tif
[2013/01/30 11:47:38 | 000,044,138 | ---- | C] () -- C:\Documents and Settings\Administrateur\Mes documents\NOTE BAPTISTE 30.01.2013[1].pdf
[2012/10/01 09:39:27 | 000,000,226 | ---- | C] () -- C:\WINDOWS\hpbafd.ini
[2012/09/07 12:51:30 | 000,107,520 | RHS- | C] () -- C:\WINDOWS\System32\TAKDSDecoder.dll
[2012/08/17 15:06:08 | 000,000,028 | ---- | C] () -- C:\WINDOWS\MotionDVSTUDIO.INI
[2012/06/13 10:49:44 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\xrfk2aJBF.DLL
[2012/06/13 10:49:44 | 000,019,456 | ---- | C] () -- C:\WINDOWS\System32\xrhk2aLM.DLL
[2012/06/12 07:32:42 | 001,695,232 | ---- | C] () -- C:\WINDOWS\System32\xrqsreg.dll
[2012/02/15 05:24:46 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/06/29 13:17:59 | 000,651,264 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2011/06/29 13:17:59 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\ssleay32.dll
[2011/06/29 13:17:56 | 000,155,624 | ---- | C] () -- C:\WINDOWS\System32\drivers\ar5523.bin
[2011/03/15 12:24:46 | 000,001,598 | ---- | C] () -- C:\WINDOWS\System32\CommonSetting.ini
[2010/07/15 15:42:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2010/07/07 13:22:39 | 000,014,848 | ---- | C] () -- C:\Documents and Settings\Administrateur\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/01/19 09:08:02 | 000,254,464 | ---- | C] () -- C:\WINDOWS\System32\MSVCRT2X.DLL
[2010/01/19 09:04:32 | 000,000,385 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010/01/19 08:36:20 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2010/01/18 16:57:45 | 000,004,205 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010/01/18 16:56:28 | 000,157,952 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010/01/18 16:10:30 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010/01/18 16:04:37 | 000,021,892 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2006/06/29 11:35:02 | 001,111,429 | R--- | C] () -- C:\WINDOWS\uninstallMOH.exe
[2005/03/29 00:22:59 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2005/03/29 00:22:59 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/05 11:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/05 11:00:00 | 000,367,658 | ---- | C] () -- C:\WINDOWS\System32\perfh00C.dat
[2004/08/05 11:00:00 | 000,322,810 | ---- | C] () -- C:\WINDOWS\System32\perfi00C.dat
[2004/08/05 11:00:00 | 000,311,604 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/05 11:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/05 11:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/05 11:00:00 | 000,048,616 | ---- | C] () -- C:\WINDOWS\System32\perfc00C.dat
[2004/08/05 11:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/05 11:00:00 | 000,039,992 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/05 11:00:00 | 000,034,108 | ---- | C] () -- C:\WINDOWS\System32\perfd00C.dat
[2004/08/05 11:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/05 11:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/05 11:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/05 11:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001/07/31 03:17:12 | 000,094,274 | ---- | C] () -- C:\WINDOWS\System32\HPBHEALR.DLL
[1999/07/30 09:24:34 | 000,000,218 | ---- | C] () -- C:\WINDOWS\oraodbc.ini

[color=#E56717]========== LOP Check ==========[/color]

[2012/06/15 10:11:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\GetRightToGo
[2010/06/17 07:25:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\OpenOffice.org
[2012/06/12 10:27:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\ScanSoft
[2012/06/12 08:28:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Zeon
[2012/06/04 06:40:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrateur\Application Data\Zzzzzzz
[2011/10/07 08:25:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\AMMYY
[2012/08/03 15:06:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Ask
[2012/06/15 09:38:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ESET
[2012/06/14 13:56:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ma-config.com
[2012/08/17 14:28:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Panasonic
[2012/06/12 10:27:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ScanSoft
[2012/12/18 08:54:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2012/06/12 08:28:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Zeon
[2013/02/13 13:02:12 | 000,000,216 | ---- | M] () -- C:\WINDOWS\Tasks\sauvegarde.job
[2013/02/26 13:32:30 | 000,000,450 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{E09A4B7B-4216-4339-82DC-9C7A04EFFAA0}.job

[color=#E56717]========== Purity Check ==========[/color]



[color=#E56717]========== Custom Scans ==========[/color]


Invalid Environment Variable: %ALLUSERSPROFILE%\Application Data\*.exe

Invalid Environment Variable: %APPDATA%\*.exe

[color=#A23BEC]< %SYSTEMDRIVE%\*.exe >[/color]

[color=#A23BEC]< %systemroot%\*. /mp /s >[/color]

[color=#A23BEC]< %systemroot%\system32\*.dll /lockedfiles >[/color]
[9 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

[color=#A23BEC]< %systemroot%\Tasks\*.job /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\system32\drivers\*.sys /lockedfiles >[/color]

[color=#A23BEC]< %systemroot%\System32\config\*.sav >[/color]
[2010/01/18 16:55:19 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2010/01/18 16:55:19 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2010/01/18 16:55:19 | 000,446,464 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav


[color=#A23BEC]< MD5 for: EXPLORER.EXE >[/color]
[2004/08/05 11:00:00 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=4C33E5B9A6197B6ED215F6CFBA0A2DAA -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008/04/13 19:34:04 | 001,037,824 | ---- | M] (Microsoft Corporation) MD5=F2317622D29F9FF0F88AEECD5F60F0DD -- C:\WINDOWS\explorer.exe
[2008/04/13 19:34:04 | 001,037,824 | ---- | M] (Microsoft Corporation) MD5=F2317622D29F9FF0F88AEECD5F60F0DD -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

[color=#A23BEC]< MD5 for: WINLOGON.EXE >[/color]
[2012/09/29 19:54:26 | 000,218,184 | ---- | M] () MD5=8846E87210AD131CF71E3E2E49F647B0 -- C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2004/08/05 11:00:00 | 000,506,368 | ---- | M] (Microsoft Corporation) MD5=D2DE785AEAB0BB8CA4C14A8A199DBE4E -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008/04/13 19:34:30 | 000,512,000 | ---- | M] (Microsoft Corporation) MD5=DD73D6B9F6B4CB630CF35B438B540174 -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008/04/13 19:34:30 | 000,512,000 | ---- | M] (Microsoft Corporation) MD5=DD73D6B9F6B4CB630CF35B438B540174 -- C:\WINDOWS\system32\winlogon.exe

[color=#A23BEC]< CREATERESTOREPOINT >[/color]

[color=#A23BEC]< nslookup www.google.fr /c >[/color]
Serveur : UnKnown
Address: 127.0.0.1

[color=#E56717]========== Alternate Data Streams ==========[/color]

@Alternate Data Stream - 684 bytes -> C:\WINDOWS\System32\drivers\ttiopppe.sys:changelist
@Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34
< End of report >
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 28/02/2013 à 17:51
- Double clique sur OTLPE
- Si tu obtienS la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES
- Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK

OTL se lance
Copiez ce texte en gras
- Coller le texte dans la partie Custom Scans/Files

--------------------------------------------------
:OTL
SRV - [2012/06/22 09:32:12 | 000,625,816 | ---- | M] (Pandora.TV) [Auto] -- C:\Program Files\PANDORA.TV\PanService\PandoraService.exe -- (PanService)
SRV - [2013/02/13 14:36:41 | 000,100,352 | ---- | M] () [Auto] -- C:\Documents and Settings\Administrateur\2978406.dll -- (winmgmt)
NetSvcs: winmgmt - C:\Documents and Settings\Administrateur\2978406.dll ()
[2013/02/28 14:13:05 | 095,023,320 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\6048792.pad
[2013/02/28 14:13:02 | 000,002,875 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\6048792.js
[2013/02/28 14:13:02 | 000,000,778 | ---- | M] () -- C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\runctf.lnk

:commands
[emptytemp]


-------------------------------------------------
- Clique sur Run Fix en haut de la fenêtre
- Si une fenêtre s'ouvre avec un message : No Fix has been Provided! Do you want to load it from a file ; cliquer sur YES
- Coller le contenu du rapport dans la réponseNote : La rapport se trouve dans C:\OTL

Ensuite redémarre le PC normalement et dis moi si tu as toujours le ransomware Gendarmerie

Smart
0
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
1 mars 2013 à 16:25
Mon antivirus me detecte plusieurs chevaux de troie,
SpyHunter me détecte 5 menaces
Rogue killer me détecte la menace Zero Access (rapport ci joint ) :
Je supprime et relance .

RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Recherche -- Date : 01/03/2013 15:12:54
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] U : C:\WINDOWS\Installer\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Documents and Settings\Administrateur\Local Settings\Application Data\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$88e29972f4bb307d3bf9aade9ce33a94\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-117609710-2049760794-839522115-500\$88e29972f4bb307d3bf9aade9ce33a94\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\WINDOWS\Installer\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Documents and Settings\Administrateur\Local Settings\Application Data\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$88e29972f4bb307d3bf9aade9ce33a94\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-117609710-2049760794-839522115-500\$88e29972f4bb307d3bf9aade9ce33a94\L --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 9298dd3844241666fefaa25ce2d8662d
[BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 21261196d42eb731e5e7417e618b7ba5
[BSP] 964a47a228c5ecfa38b8101cbeb220ff : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 15292 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_S_01032013_151254.txt >>
RKreport[1]_S_01032013_110602.txt ; RKreport[2]_S_01032013_151254.txt
0
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
1 mars 2013 à 16:31
J'ai supprimé dans RK mais Zero Access est tjrs là ci dessous le rapport, j'execute MalwaresBytes

RogueKiller V8.5.1 [Feb 21 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Suppression -- Date : 01/03/2013 16:28:08
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FOLDER] ROOT : C:\WINDOWS\Installer\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Documents and Settings\Administrateur\Local Settings\Application Data\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$88e29972f4bb307d3bf9aade9ce33a94\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-117609710-2049760794-839522115-500\$88e29972f4bb307d3bf9aade9ce33a94\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\WINDOWS\Installer\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Documents and Settings\Administrateur\Local Settings\Application Data\{88e29972-f4bb-307d-3bf9-aade9ce33a94}\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$88e29972f4bb307d3bf9aade9ce33a94\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-117609710-2049760794-839522115-500\$88e29972f4bb307d3bf9aade9ce33a94\L --> SUPPRIMÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (\??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys @ 0xBA64C700)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 9298dd3844241666fefaa25ce2d8662d
[BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 21261196d42eb731e5e7417e618b7ba5
[BSP] 964a47a228c5ecfa38b8101cbeb220ff : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 15292 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[3]_D_01032013_162808.txt >>
RKreport[2]_S_01032013_151254.txt ; RKreport[3]_D_01032013_162808.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 1/03/2013 à 16:59
Pourquoi n'as-tu pas fait ce que j'avais demandé ici ==>
https://forums.commentcamarche.net/forum/affich-27246653-pc-infecte-par-le-virus-gendarmerie#10

Tu peux désinstaller spyhunter, il ne sert à rien

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
1 mars 2013 à 17:12
J'ai fait tout ce que tu as dit hier, j'ai aussi posté le rapport .
Visiblement tu n'as pas eu mon post.
Pour résumer la page ministére n'est plus présente, j'ai relancé RK qui me detecte "Zero Acces".
0
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
1 mars 2013 à 17:13
Et aprés avoir fait "suppression" Zero Acces est encore présent
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
1 mars 2013 à 17:15
OK. je comprends mieux.
Est-ce que tu peux poster le rapport se suppression OTL
Tu peux l'héberger sur ce site et me donner le lien pour y accéder
http://pjjoint.malekal.com/

Tu as bien fait de passer MBAM après RK, j'attends le rapport

Smart
0
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
1 mars 2013 à 17:25
Ci joint le lien de l'hebergeur :
https://pjjoint.malekal.com/files.php?id=20130301_b6c14p10u15f5
J'ai desinstallé Spyhunter ( ne sert à rien effectivement)
Et une fois MBAM terminé je te poste le rapport.

Merci pour l'aide
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
1 mars 2013 à 17:46
OK :-)
0
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
1 mars 2013 à 17:52
Ci joint le rapport de MBAM

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Database version: v2013.03.01.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrateur :: KRONTHAL [administrator]

01/03/2013 15:27:30
mbam-log-2013-03-01 (15-27-30).txt

Scan type: Full scan (C:\|D:\|E:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 359508
Time elapsed: 1 hour(s), 3 minute(s), 43 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
1 mars 2013 à 18:05
Tu a bien lancé MBAM depuis la même session qu'au lancement de RK ?

Smart
0
mdk727377 Messages postés 14 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 4 mars 2013
2 mars 2013 à 06:59
Bonjour

J'ai bien lancé MBAM depuis la même session.
Ce matin mon ordi a telechargé les mises à jour Windows, j'ai lancé RK dont voici le rapport :
RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Administrateur [Droits d'admin]
Mode : Recherche -- Date : 02/03/2013 06:55:21
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 9298dd3844241666fefaa25ce2d8662d
[BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39997 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 81915435 | Size: 36287 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4]_S_02032013_065521.txt >>
RKreport[2]_S_01032013_151254.txt ; RKreport[3]_D_01032013_162808.txt ; RKreport[4]_S_02032013_065521.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
2 mars 2013 à 14:03
OK. C'est Impec

Désinstalle spybot. Il ne sert à rien et ne fait que ralentir ta machine
==> https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6

Ensuite on va faire un diagnostic du PC afin de voir s'il y a des restes et/ou d'autres infections

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur le tournevis à droite et coche toutes les cases
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.

Smart
0