Sirefef.gen!C - Besoin d'aide pour supprimer ce virus Résolu/Fermé

Question

Bonjour, J'ai été infecté par le virus Sirefef.gen!C. En utilisant la fonction recherche j'ai trouvé un cas similaire : https://forums.commentcamarche.net/forum/affich-27117193-acces-gmail-impossible-virus-sirefef-gen-c#q=Sirefef.gen%21C&cur=4&url=%2F J'ai donc commencé à utiliser la méthode proposée par Malekal_morte- pour s'en débarasser. Malheureusement je ne comprends pas bien les rapports que me proposent les Anti Rootkit et j'aurais besoin de votre aide pour me guider. Merci d'avance. Jusqu'à présent j'ai juste utilisé le programme Rogue Killer qui m'a donné ce rapport : RogueKiller V8.5.4 [Mar 18 2013] by Tigzy mail : tigzyRKgmailcom Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Website : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Blog : http://tigzyrk.blogspot.com/ Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Started in : Normal mode User : usuario [Admin rights] Mode : Remove -- Date : 10/04/2013 16:50:19 | ARK || FAK || MBR | ¤¤¤ Bad processes : 0 ¤¤¤ ¤¤¤ Registry Entries : 13 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1) [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Particular Files / Folders: ¤¤¤ [ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB44840$ >> \systemroot\system32\config --> REMOVED [Del.Parent][FILE] 2324667045 : C:\Windows\$NtUninstallKB44840$\2324667045 [-] --> REMOVED [Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB44840$\307674494\@ [-] --> REMOVED [Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB44840$\307674494\Desktop.ini [-] --> REMOVED [Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB44840$\307674494\L\00000004.@ [-] --> REMOVED [Del.Parent][FILE] 201d3dde : C:\Windows\$NtUninstallKB44840$\307674494\L\201d3dde [-] --> REMOVED [Del.Parent][FILE] 76603ac3 : C:\Windows\$NtUninstallKB44840$\307674494\L\76603ac3 [-] --> REMOVED [Del.Parent][FILE] xadqgnnk : C:\Windows\$NtUninstallKB44840$\307674494\L\xadqgnnk [-] --> REMOVED [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB44840$\307674494\L --> REMOVED [Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB44840$\307674494\U\00000004.@ [-] --> REMOVED [Del.Parent][FILE] 00000008.@ : C:\Windows\$NtUninstallKB44840$\307674494\U\00000008.@ [-] --> REMOVED [Del.Parent][FILE] 000000cb.@ : C:\Windows\$NtUninstallKB44840$\307674494\U\000000cb.@ [-] --> REMOVED [Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB44840$\307674494\U\80000000.@ [-] --> REMOVED [Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB44840$\307674494\U\80000032.@ [-] --> REMOVED [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB44840$\307674494\U --> REMOVED [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB44840$\307674494 --> REMOVED AT REBOOT [ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB44840$ --> REMOVED AT REBOOT [Faked.Drv][FILE] netbt.sys : C:\Windows\system32\drivers\netbt.sys [-] --> CANNOT FIX ¤¤¤ Driver : [LOADED] ¤¤¤ SSDT[84] : NtCreateSection @ 0x8202503D -> HOOKED (Unknown @ 0x8AAE8076) SSDT[299] : NtRequestWaitReplyPort @ 0x8203FA0A -> HOOKED (Unknown @ 0x8AAE8080) SSDT[316] : NtSetContextThread @ 0x820DF637 -> HOOKED (Unknown @ 0x8AAE807B) SSDT[347] : NtSetSecurityObject @ 0x82003725 -> HOOKED (Unknown @ 0x8AAE8085) SSDT[368] : NtSystemDebugControl @ 0x820875E2 -> HOOKED (Unknown @ 0x8AAE808A) SSDT[370] : NtTerminateProcess @ 0x8205CB9D -> HOOKED (Unknown @ 0x8AAE8017) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8AAE809E) S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8AAE80A3) ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ HOSTS File: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 adobeereg.com 127.0.0.1 www.adobeereg.com 127.0.0.1 activate.adobe.com 127.0.0.1 activate-sea.adobe.com 127.0.0.1 activate-sjc0.adobe.com 127.0.0.1 wwis-dubc1-vip60.adobe.com ¤¤¤ MBR Check: ¤¤¤ +++++ PhysicalDrive0: WDC WD3200BPVT-22JJ5T0 +++++ --- User --- [MBR] 2964647edc84e8c608085a0f569bb070 [BSP] d9e22bb013cad5328620cef29c845b95 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 173077 Mo 3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 381931520 | Size: 118754 Mo User = LL1 ... OK! User = LL2 ... OK! Finished : << RKreport[2]_D_10042013_165019.txt >> RKreport[1]_S_10042013_164656.txt ; RKreport[2]_D_10042013_165019.txt

Smart91 · Answer

Bonjour,

Tu as dû télécharger un cr@ck ou keygen pour utiliser un logiciel Adobe (surement photoshop)

Maintenant tu vas faire ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

Javikiko · Answer

Merci pour ta réponse Smart, 

J'ai effectivement téléchargé plusieurs logiciels Adobe sur leur site hier (Acrobat, Air et Photoshop Element) mais le seul keygen que j'ai utilisé c'était pour un autre logiciel Kolor Autopano qui avait un bug en version d'évaluation.  

J'ai suivi toutes les étapes avec Malwaresbytes, mais mon ordinateur a redémarré avant que je ne puisse enregistrer le rapport. 
J'ai donc été cherché les deux rapports qu'il y avait suite au scan dans la partie log/rapports de Malwaresbytes. 

Malwarebytes Anti-Malware (Essai) 1.75.0.1300 
www.malwarebytes.org 

Version de la base de données: v2013.04.11.05 

Windows 7 Service Pack 1 x86 NTFS 
Internet Explorer 9.0.8112.16421 
usuario :: ACER-ASPIRE-ONE [administrateur] 

Protection: Activé 

11/04/2013 10:18:07 
mbam-log-2013-04-11 (10-18-07).txt 

Type d'examen: Examen complet (C:\|D:\|E:\|) 
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM 
Options d'examen désactivées: P2P 
Elément(s) analysé(s): 311604 
Temps écoulé: 1 heure(s), 47 minute(s), 24 seconde(s) 

Processus mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Module(s) mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Clé(s) du Registre détectée(s): 0 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre détectée(s): 0 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre détecté(s): 0 
(Aucun élément nuisible détecté) 

Dossier(s) détecté(s): 0 
(Aucun élément nuisible détecté) 

Fichier(s) détecté(s): 2 
C:\Windows\AutoKMS.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès. 
C:\Windows\KMSEmulator.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès. 

(fin) 

2013/04/11 10:14:29 +0200 ACER-ASPIRE-ONE usuario MESSAGE Starting protection 
2013/04/11 10:14:29 +0200 ACER-ASPIRE-ONE usuario MESSAGE Protection started successfully 
2013/04/11 10:14:29 +0200 ACER-ASPIRE-ONE usuario MESSAGE Starting IP protection 
2013/04/11 10:14:29 +0200 ACER-ASPIRE-ONE usuario ERROR IP protection failed:  FwpmEngineOpen0 failed with error code 1753 
2013/04/11 10:14:55 +0200 ACER-ASPIRE-ONE usuario MESSAGE Starting database refresh 
2013/04/11 10:15:07 +0200 ACER-ASPIRE-ONE usuario MESSAGE Database refreshed successfully 
2013/04/11 12:12:00 +0200 ACER-ASPIRE-ONE (null) MESSAGE Starting protection 
2013/04/11 12:12:00 +0200 ACER-ASPIRE-ONE (null) MESSAGE Protection started successfully 
2013/04/11 12:12:00 +0200 ACER-ASPIRE-ONE (null) MESSAGE Starting IP protection 
2013/04/11 12:12:00 +0200 ACER-ASPIRE-ONE (null) ERROR IP protection failed:  FwpmEngineOpen0 failed with error code 1753

Smart91 · Answer

Relance mBAM et vide la quarantaine

Je voudrais que tu fasses ceci:

Va sur ce site https://www.virustotal.com/gui/
- Clique sur "Choose File"
- Dans nom du fichier colle ce fichier : C:\Windows\system32\drivers
etbt.sys
- Clique sur "Ouvrir" puis sur "Scan It"
- Le Fichier est mis en file d'attente. 
- Clique sur Reanalyse si  c'est proposé
- Attends la fin du scan ey poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet 

Smart

Javikiko · Answer

J'ai relancé mBAM et vidé la quarantaine, mais il n'y avait qu'un fichier : 

RiskWare.Tool.CK C:\Windows\KMSEmulator.exe

alors qu'il me semble que mBAM en avait trouvé 2 lors de l'analyse.
Durant l'analyse Avira s'était déclanché tout seul, je n'avais cependant touché à rien et laissé mBAM continuer l'analyse normalement.

Type : Résultat positif
L'accès au fichier
"C:\Windows\AutoKMS.exe" en contenant le virus ou programme indésirable 
"TR/Meredrop.A.4172" a été bloqué

Vous pouvez supprimer le fichier ou obtenir plus d'informations concernant ce problème.

Je suis donc allé sur le site : https://www.virustotal.com/gui/
J'ai cliqué sur : sélectionner
Puis j'ai collé le lien : C:\Windows\system32\drivers
etbt.sys
J'ai cliqué sur ouvrir, et là je me suis retrouvé avec un message d'erreur et une alerte Avira.

Message d'erreur : netbt.sys n'a pas l'autorisation pour ouvrir cette archive.
Demandez l'autorisation au propriétaire de l'archive ou a un administrateur

Message Avira :

Type : Résultat positif
L'accès au fichier
"C:\Windows\System32\drivers
etbt.sys" en contenant le virus ou programme indésirable
"TR/Rootkit.Gen7" a été bloqué

Vous pouvez supprimer le fichier ou obtenir plus d'informations concernant ce problème.

Pour le moment je n'ai touché a rien, j'attends tes instructions.

Smart91 · Answer

Désactive Avira le temps d'analyse netbt.sys sur Virustotal 

Smart

Javikiko · Answer

Voici le lien vers le rapport : https://www.virustotal.com/gui/file/11d65da0a93146426ca91713073cccf9f39e293a1ffc6ddedbec07da628cd092

Smart91 · Answer

On va prendre chaque problème à la fois pour le moment on s'occupe du rootkit

Tu vas faire ceci:

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si TDSS.tdl2 : l'option Delete sera cochée. 
* Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
* Si "Suspicious object" laisse l'option cochée sur Skip 
* Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas 
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt 

Smart

Javikiko · Answer

J'ai lancé le scan avec TDSSKiller avec les options par défaut :  

Objects to scan :  

System memory = coché  
Services and drivers = coché  
Boot sectors = coché  
Loaded modules = non coché  

Additional options :  

Verify file digital signatures = non coché  
Detect TDLFS file system = non coché  

Il n'a rien trouvé, voici le rapport :  

https://pjjoint.malekal.com/files.php?id=20130412_h7s11j9e139

Smart91 · Answer

C'est curieux, TDSSKiller trouve que netbt.sys est OK.

On va quand même chercher sur ton PC des copies du fichier netbt.sys

- Télécharge SEAF (de C_XX) sur ton Bureau. 
http://general-changelog-team.fr/fr/downloads/viewdownload/14-outils-de-c-xx/6-seaf
- Lance SEAF 
- Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre" 
- Copie colle la ligne en gras ci dessous dans le champs de recherche, clique sur "Lancer la recherche" et patiente. 

----------------------------------------------------------------

netbt.sys

---------------------------------------------------------------

* Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.


Smart

Javikiko · Answer

Voici le rapport de SEAF

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 19:27:07 le 12/04/2013
4. 
5. Valeur(s) recherchée(s):
6. netbt.sys
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) ======
15. 
16. 
17. "C:\Windows\snack
etbt.sys" [ ARCHIVE | 188 Ko ]
18. TC: 10/04/2013,16:46:29 | TM: 20/11/2010,23:29:08 | DA: 10/04/2013,16:46:29
19. 
20. Hash MD5: 280122DDCF04B378EDD1AD54D71C1E54
21. 
22. CompanyName: Microsoft Corporation
23. ProductName: Microsoft® Windows® Operating System
24. InternalName: netbt.sys
25. OriginalFileName: netbt.sys
26. LegalCopyright: © Microsoft Corporation. All rights reserved.
27. ProductVersion: 6.1.7601.17514
28. FileVersion: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
29. 
30. =========================
31. 
32. 
33. "C:\Windows\System32\drivers
etbt.sys" [ ARCHIVE | 188 Ko ]
34. TC: 20/11/2010,23:29:08 | TM: 20/11/2010,23:29:08 | DA: 20/11/2010,23:29:08
35. 
36. Hash MD5: AE26A3241D88991F9C4F3E4D3A958659
37. 
38. 
39. =========================
40. 
41. 
42. "C:\Windows\System32\drivers
etbt.sys.dump" [ ARCHIVE | 188 Ko ]
43. TC: 10/04/2013,16:46:29 | TM: 10/04/2013,16:49:52 | DA: 10/04/2013,16:46:29
44. 
45. Hash MD5: AE26A3241D88991F9C4F3E4D3A958659
46. 
47. 
48. =========================
49. 
50. 
51. "C:\Windows\winsxs\Backup\x86_microsoft-windows-netbt_31bf3856ad364e35_6.1.7601.17514_none_626c324d55864070_netbt.sys_9226f314" [ ARCHIVE | 188 Ko ]
52. TC: 20/11/2010,23:34:20 | TM: 20/11/2010,23:31:06 | DA: 20/11/2010,23:31:06
53. 
54. Hash MD5: 280122DDCF04B378EDD1AD54D71C1E54
55. 
56. CompanyName: Microsoft Corporation
57. ProductName: Microsoft® Windows® Operating System
58. InternalName: netbt.sys
59. OriginalFileName: netbt.sys
60. LegalCopyright: © Microsoft Corporation. All rights reserved.
61. ProductVersion: 6.1.7601.17514
62. FileVersion: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
63. 
64. =========================
65. 
66. 
67. "C:\Windows\winsxs\x86_microsoft-windows-netbt_31bf3856ad364e35_6.1.7601.17514_none_626c324d55864070
etbt.sys" [ ARCHIVE | 188 Ko ]
68. TC: 20/11/2010,23:29:08 | TM: 20/11/2010,23:29:08 | DA: 20/11/2010,23:29:08
69. 
70. Hash MD5: AE26A3241D88991F9C4F3E4D3A958659
71. 
72. 
73. =========================
74. 
75. 
76. 
77. ====== Entrée(s) du registre ======
78. 
79. 
80. [HKLM\System\ControlSet001\Enum\Root\LEGACY_NETBT\0000]
81. "DeviceDesc"="@%SystemRoot%\system32\drivers
etbt.sys,-2" (REG_SZ)
82. 
83. [HKLM\System\ControlSet001\services\NetBT]
84. "DisplayName"="@%SystemRoot%\system32\drivers
etbt.sys,-2" (REG_SZ)
85. 
86. [HKLM\System\ControlSet001\services\NetBT]
87. "ImagePath"="System32\DRIVERS
etbt.sys" (REG_EXPAND_SZ)
88. 
89. [HKLM\System\ControlSet001\services\NetBT]
90. "Description"="@%SystemRoot%\system32\drivers
etbt.sys,-1" (REG_SZ)
91. 
92. [HKLM\System\ControlSet002\Enum\Root\LEGACY_NETBT\0000]
93. "DeviceDesc"="@%SystemRoot%\system32\drivers
etbt.sys,-2" (REG_SZ)
94. 
95. [HKLM\System\ControlSet002\services\NetBT]
96. "DisplayName"="@%SystemRoot%\system32\drivers
etbt.sys,-2" (REG_SZ)
97. 
98. [HKLM\System\ControlSet002\services\NetBT]
99. "ImagePath"="System32\DRIVERS
etbt.sys" (REG_EXPAND_SZ)
100. 
101. [HKLM\System\ControlSet002\services\NetBT]
102. "Description"="@%SystemRoot%\system32\drivers
etbt.sys,-1" (REG_SZ)
103. 
104. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_NETBT\0000]
105. "DeviceDesc"="@%SystemRoot%\system32\drivers
etbt.sys,-2" (REG_SZ)
106. 
107. [HKLM\System\CurrentControlSet\services\NetBT]
108. "DisplayName"="@%SystemRoot%\system32\drivers
etbt.sys,-2" (REG_SZ)
109. 
110. [HKLM\System\CurrentControlSet\services\NetBT]
111. "ImagePath"="System32\DRIVERS
etbt.sys" (REG_EXPAND_SZ)
112. 
113. [HKLM\System\CurrentControlSet\services\NetBT]
114. "Description"="@%SystemRoot%\system32\drivers
etbt.sys,-1" (REG_SZ)
115. 
116. =========================
117. 
118. Fin à: 19:34:02 le 12/04/2013
119. 314996 Éléments analysés
120. 
121. =========================
122. E.O.F

Smart91 · Answer

Analyse sur VirusTotal ce fichier:

C:\Windows\snack
etbt.sys

Et donne moi le lien vers le rapport

Smart

Javikiko · Answer

Virus Total n'a rien trouvé :

https://www.virustotal.com/gui/file/f98b2ade34f7e67c7c06c1d0ffb80ecbc353d044d4b4784cd952910345dc2ed0

Smart91 · Answer

Télécharge sur ton bureau ce petit programme Filereplace en faisant clic droit enregistrer le cible.

Double clique sur Filereplace

Ensuite relance RogueKIller, fais un scan et poste le rapport 

Smart

Javikiko · Answer

J'ai double cliqué sur Filereplace, une fenetre noire style DOS s'est ouverte et s'est refermée aussitot. Voivi le rapport de RogueKiller, il semblerait qu'il n'ai rien trouvé : RogueKiller V8.5.4 [Mar 18 2013] by Tigzy mail : tigzyRKgmailcom Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Website : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Blog : http://tigzyrk.blogspot.com/ Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Started in : Normal mode User : usuario [Admin rights] Mode : Remove -- Date : 13/04/2013 12:02:59 | ARK || FAK || MBR | ¤¤¤ Bad processes : 0 ¤¤¤ ¤¤¤ Registry Entries : 0 ¤¤¤ ¤¤¤ Particular Files / Folders: ¤¤¤ ¤¤¤ Driver : [LOADED] ¤¤¤ SSDT[84] : NtCreateSection @ 0x8206703D -> HOOKED (Unknown @ 0x8CB28C56) SSDT[299] : NtRequestWaitReplyPort @ 0x82081A0A -> HOOKED (Unknown @ 0x8CB28C60) SSDT[316] : NtSetContextThread @ 0x82121637 -> HOOKED (Unknown @ 0x8CB28C5B) SSDT[347] : NtSetSecurityObject @ 0x82045725 -> HOOKED (Unknown @ 0x8CB28C65) SSDT[368] : NtSystemDebugControl @ 0x820C95E2 -> HOOKED (Unknown @ 0x8CB28C6A) SSDT[370] : NtTerminateProcess @ 0x8209EB9D -> HOOKED (Unknown @ 0x8CB28BF7) S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8CB28C7E) S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8CB28C83) ¤¤¤ HOSTS File: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 adobeereg.com 127.0.0.1 www.adobeereg.com 127.0.0.1 activate.adobe.com 127.0.0.1 activate-sea.adobe.com 127.0.0.1 activate-sjc0.adobe.com 127.0.0.1 wwis-dubc1-vip60.adobe.com ¤¤¤ MBR Check: ¤¤¤ +++++ PhysicalDrive0: WDC WD3200BPVT-22JJ5T0 +++++ --- User --- [MBR] 2964647edc84e8c608085a0f569bb070 [BSP] d9e22bb013cad5328620cef29c845b95 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 13312 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 27265024 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 27469824 | Size: 173077 Mo 3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 381931520 | Size: 118754 Mo User = LL1 ... OK! User = LL2 ... OK! Finished : << RKreport[4]_D_13042013_120259.txt >> RKreport[1]_S_10042013_164656.txt ; RKreport[2]_D_10042013_165019.txt ; RKreport[3]_S_13042013_115928.txt ; RKreport[4]_D_13042013_120259.txt

Smart91 · Answer

Là c'est bon.

On va maintenant faire un diagnostic du PC pour voir s'il a des restes et/ou d'autres infections.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista, Windows 7 et Windows 8 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe avec le "+"  pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse. 

Smart

Javikiko · Answer

Comment est ce possible que le fichier netbt.sys qui était infecté par plusieurs trucs selon le premier scan de VirusTotal, devienne tout d'un coup sain sans qu'on ne supprime rien du tout?

Voici le lien pijoint que tu m'as demandé. Là il n'y a plus de couleurs, mais sur le log en fin d'analyse y'avait pleins de choses en rouge, bleu, et vert/gris

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130413_f6b7m13i11s15

Smart91 · Answer

Le logiciel SEAF m'a permis de rechercher des copies de netbt.sys sur ton ordinateur et en a trouvé plusieurs dont celui-ci:
C:\Windows\snack
etbt.sys  qui se trouvait dans le répertoire snack. Je t'ai demandé de le vérifier sur VirusTotal pour m'assurer qu'il soit sain.
Ensuite j'ai fait un tout petit programme Filereplace qui a renommer le fichier netbt.sys en netbt.vir et j'ai copié le netbt.sys du répertoire snack dans le répertoire drivers à la place de l'ancien netbt.sys.
On ne peux pas dire que l'on a rien supprimé, le fait de renommer le driver infect le rend inactif. 

Je regarde le rpoort ZHPdiag et je reviens vers toi

Smart

Smart91 · Answer

Les lignes rouges montrent que ton ordinateur est infecté par plusieurs logiciels publicitaires... Pour éviter ce genre de problème :
- Ne télécharge aucun programme proposé dans des publicités ou sur des sites suspects. A noter que certains sites connus comme O1net, Softronic, Tuto4PC, etc modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires ==> Préfère toujours le téléchargement directement sur le site de l'éditeur.
- Au cours de l'installation d'un programme gratuit, lis bien attentivement et décoche tous les programmes additionnels qui sont proposés, en particulier les barres d'outils.
Pour ton information lis ces dossier sur les Programmes Potentiellement Indésirables et Les Barres d'Outils ce n'est pas obligatoires

Tu vas faire ceci:

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance AdwCleaner
- Clique sur[Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Ensuite je soupçonne une infection transmissible par clé USB, pour s'en assurer tu vas faire ceci:

- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Cela fait deux rapports à poster

Smart

Javikiko · Answer

Incroyable, tu as toi même codé un programme pour courcircuiter le virus! :D

Mais du coup j'imagine que si on ne supprime pas directement netbt.vir c'est que ça serait impossible ou dangereux de le faire?

Concernant UsbFix, je n'ai que 2 ports USB et 3 sources de données externes à mon PC. ( 2 clés USB + une clé USB 3G pour ma connection internet) Je fais donc 2 recherches et je t'envoie 2 rapports? (donc 3 en tout avec celui de AdwCleaner)

Smart91 · Answer

1. Pour le fichier netbt.vir on le supprimera quand on aura tout terminé comme tous les outils que je t'ai fait télécharger

2. Pour le moment passe USBFix avec seulement les deux clés mémoires USB . Donc deux rapports (USBFix et AdwCleaner)

Smart

Javikiko · Answer

J'ai passé les 2 clefs USB avec USBFix. 

J'avais oublié mais il y a aussi une 4eme clé USB que j'avais laissé sur mon bureau. Je m'en suis servi lorsque Google Chrome m'a signalé l'infection Sirefef pour effacer de mon ordi des fichiers "treeees sensibles" et les copier sur cette clé USB. 

Je ne voulais absolument pas que quelqu'un puisse me voler ces fichiers. (et maintenant j'ai un peu peur de remettre cette clé là dans mon ordi car je me dis qu'elle est peut être infectée aussi... )

Aussi le "lecteur CD" E:\ qu'il y a dans le rapport est un lecteur virtuel.  (j'utilise Daemon tool je crois) Comme j'ai un netbook je n'ai pas de lecteur CD, donc impossible d'installer un de mes jeu avec le CD d'origine, du coup j'avais téléchargé un Iso craqué... :$ je crois qu'à part ces deux dernieres bétises je n'ai pas commis d'autres imprudences...

Voici les rapports :

AdwCleaner :

# AdwCleaner v2.200 - Fichero creado el 13/04/2013 a 18:35:33
# Actualizado el 02/04/2013 por Xplode
# Sistema operativo : Windows 7 Starter Service Pack 1 (32 bits)
# Usuario : usuario - ACER-ASPIRE-ONE
# Modo de inicio : Normal
# Ejecutado desde : C:\Users\usuario\Desktop\adwcleaner.exe
# Opción [Supresión]


***** [Servicios] *****


***** [Ficheros / Carpetas] *****

Carpeta Suprimido : C:\ProgramData\Babylon
Carpeta Suprimido : C:\Users\usuario\AppData\Local\Babylon
Carpeta Suprimido : C:\Users\usuario\AppData\Local\Temp\Iminent
Carpeta Suprimido : C:\Users\usuario\AppData\Roaming\Babylon
Carpeta Suprimido : C:\Users\usuario\AppData\Roaming\OpenCandy

***** [Registro] *****

Clave Supprimida : HKCU\Software\Default Tab
Clave Supprimida : HKCU\Software\IM
Clave Supprimida : HKCU\Software\ImInstaller
Clave Supprimida : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clave Supprimida : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{154D339E-CCAA-49A5-9B38-6878AD4220BC}
Clave Supprimida : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47C0-9269-B4C6572FD61A}
Clave Supprimida : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clave Supprimida : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clave Supprimida : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clave Supprimida : HKCU\Software\Softonic
Clave Supprimida : HKLM\Software\Babylon
Clave Supprimida : HKLM\Software\BabylonToolbar
Clave Supprimida : HKLM\SOFTWARE\Classes\CLSID\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clave Supprimida : HKLM\SOFTWARE\Classes\Prod.cap
Clave Supprimida : HKLM\Software\Default Tab
Clave Supprimida : HKLM\Software\Iminent
Clave Supprimida : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{154D339E-CCAA-49A5-9B38-6878AD4220BC}
Clave Supprimida : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASAPI32
Clave Supprimida : HKLM\SOFTWARE\Microsoft\Tracing\incredibar_installer_RASMANCS
Clave Supprimida : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}
Clave Supprimida : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clave Supprimida : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Valor Supprimida : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}]

***** [Navegadores] *****

-\ Internet Explorer v9.0.8112.16464

Sustituido : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Page] = hxxp://www.searchamong.com/searchview.php?source=6987e315b363f4b09672a1cda71caea8&query={searchTerms}&cat=webs&bar=true --> hxxp://www.google.com
Sustituido : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://www.searchamong.com/searchview.php?source=6987e315b363f4b09672a1cda71caea8&query={searchTerms}&cat=webs&bar=true --> hxxp://www.google.com
Sustituido : [HKCU\Software\Microsoft\Internet Explorer\Search - Default_Search_URL] = hxxp://www.searchamong.com/searchview.php?source=6987e315b363f4b09672a1cda71caea8&query={searchTerms}&cat=webs&bar=true --> hxxp://www.google.com
Sustituido : [HKCU\Software\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://www.searchamong.com/searchview.php?source=6987e315b363f4b09672a1cda71caea8&query={searchTerms}&cat=webs&bar=true --> hxxp://www.google.com
Sustituido : [HKCU\Software\Microsoft\Internet Explorer\SearchUrl - Default] = hxxp://www.searchamong.com/searchview.php?source=6987e315b363f4b09672a1cda71caea8&query={searchTerms}&cat=webs&bar=true --> hxxp://www.google.com

*************************

AdwCleaner[S1].txt - [3956 octets] - [13/04/2013 18:35:33]

########## EOF - C:\AdwCleaner[S1].txt - [4016 octets] ##########


Rapport USBFix :

############################## | UsbFix V 7.121 | [Research]

User: usuario (Administrator) # ACER-ASPIRE-ONE
Updated 07/04/2013 by El Desaparecido
Started at 18:49:56 | 13/04/2013

Website: https://www.sosvirus.net/
Upload Malware: http://upload.sosvirus.org/
Contact: contact@sosvirus.org

PC: Acer (AOD257) (X86-based PC)
CPU: Intel(R) Atom(TM) CPU N570   @ 1.66GHz (1666)
RAM -> [Total : 1012 | Free : 218]
BIOS: InsydeH2O Version V1.14
BOOT: Normal boot

OS: Microsoft Windows 7 Starter  (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [(!) Disabled]
WU: Windows Update Service [(!) Disabled]
AV: Avira Desktop [Enabled | Updated]
FW: Windows FireWall Service [(!) Disabled]

C:\ (%systemdrive%) -> Fixed drive # 169 Gb (141 Mb free - 83%) [Ecco] # NTFS
D:\ -> Fixed drive # 116 Gb (97 Mb free - 84%) [Nemo] # NTFS
E:\ -> CD-ROM
F:\ -> Removable drive # 14 Gb (14 Mb free - 100%) [PHILIPS UFD] # FAT32
G:\ -> Removable drive # 4 Gb (3 Mb free - 88%) [HP V165W] # FAT32

################## | Active Processes |

C:\Windows\system32\csrss.exe (528)
C:\Windows\system32\wininit.exe (572)
C:\Windows\system32\csrss.exe (580)
C:\Windows\system32\services.exe (624)
C:\Windows\system32\lsass.exe (632)
C:\Windows\system32\lsm.exe (640)
C:\Windows\system32\winlogon.exe (720)
C:\Windows\system32\svchost.exe (800)
C:\Windows\system32\svchost.exe (884)
C:\Windows\System32\svchost.exe (968)
C:\Windows\System32\svchost.exe (1012)
C:\Windows\system32\svchost.exe (1044)
C:\Windows\system32\svchost.exe (1180)
C:\Windows\system32\svchost.exe (1280)
C:\Windows\system32\svchost.exe (1416)
C:\Windows\system32\WLANExt.exe (1520)
C:\Windows\system32\conhost.exe (1532)
C:\Windows\System32\spoolsv.exe (1680)
D:\Logiciels\Avira\AntiVir Desktop\sched.exe (1732)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1868)
D:\Logiciels\Avira\AntiVir Desktop\avguard.exe (1900)
C:\Program Files\Launch Manager\dsiwmis.exe (1932)
C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe (1976)
C:\Program Files\Launch Manager\LMutilps32.exe (1988)
C:\Program Files\Acer\Registration\GREGsvc.exe (2016)
C:\Program Files\Realtek\Realtek PCIE Card Reader\RIconMan.exe (124)
C:\Program Files\Acer\Acer Updater\UpdaterService.exe (360)
D:\Logiciels\Malwarebytes' Anti-Malware\mbamscheduler.exe (400)
D:\Logiciels\Malwarebytes' Anti-Malware\mbamservice.exe (532)
C:\Program Files\Acer\Acer VCM\RS_Service.exe (404)
C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe (636)
C:\Windows\system32\svchost.exe (1348)
D:\Logiciels\JoinAir\Join Air\AssistantServices.exe (352)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (2072)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2188)
C:\Windows\system32	askhost.exe (2300)
D:\Logiciels\Malwarebytes' Anti-Malware\mbamgui.exe (2308)
C:\Windows\system32\Dwm.exe (2372)
C:\Windows\Explorer.EXE (2400)
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (2500)
C:\Program Files\EgisTec MyWinLockerSuite\x86\SuiteTray.exe (2508)
C:\Program Files\EgisTec IPS\PmmUpdate.exe (2524)
C:\Windows\System32\igfxtray.exe (2544)
C:\Windows\System32\hkcmd.exe (2556)
C:\Windows\System32\igfxpers.exe (2564)
C:\Program Files\Launch Manager\LManager.exe (2572)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (2592)
C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe (2600)
D:\Logiciels\Avira\AntiVir Desktop\avgnt.exe (2640)
C:\Program Files\SecureW2\sw2_tray.exe (2668)
C:\Windows\system32\igfxsrvc.exe (2692)
D:\Logiciels\JoinAir\Join Air\UIExec.exe (2744)
C:\Program Files\Launch Manager\LMworker.exe (2760)
C:\Windows\system32\wbem\wmiprvse.exe (2968)
C:\Program Files\Acer\Acer VCM\AcerVCM.exe (3136)
C:\Windows\system32\NOTEPAD.EXE (3164)
D:\Logiciels\JoinAir\Join Air\UIMain.exe (3232)
C:\Windows\system32\igfxext.exe (3288)
C:\Program Files\EgisTec IPS\EgisUpdate.exe (3564)
C:\Windows\system32\wbem\unsecapp.exe (3884)
C:\Program Files\Acer\Acer ePower Management\ePowerEvent.exe (3708)
D:\Logiciels\Avira\AntiVir Desktop\avshadow.exe (3300)
C:\Windows\system32\SearchIndexer.exe (3544)
D:\Logiciels\JoinAir\Join Air\CMUpdater.exe (3812)
C:\Windows\system32\SearchProtocolHost.exe (1432)
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (1144)
C:\Program Files\Google\Chrome\Application\chrome.exe (3664)
C:\Program Files\Google\Chrome\Application\chrome.exe (760)
C:\Program Files\Google\Chrome\Application\chrome.exe (2464)
D:\Logiciels\Adobe Photoshop Element 11\Elements 11 Organizer\PhotoshopElementsFileAgent.exe (3420)
C:\Windows\system32\svchost.exe (1964)
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe (3372)
C:\Windows\System32\WUDFHost.exe (3004)
\?\C:\Windows\system32\wbem\WMIADAP.EXE (1276)
C:\UsbFix\Go.exe (3612)
C:\Windows\system32\wbem\wmiprvse.exe (4000)
C:\Windows\system32\SearchFilterHost.exe (500)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [RtHDVCpl] - C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
HKLM\SOFTWARE | Run : [SuiteTray] - "C:\Program Files\EgisTec MyWinLockerSuite\x86\SuiteTray.exe"
HKLM\SOFTWARE | Run : [EgisTecPMMUpdate] - "C:\Program Files\EgisTec IPS\PmmUpdate.exe"
HKLM\SOFTWARE | Run : [EgisUpdate] - "C:\Program Files\EgisTec IPS\EgisUpdate.exe" -d
HKLM\SOFTWARE | Run : [IgfxTray] - C:\Windows\system32\igfxtray.exe
HKLM\SOFTWARE | Run : [HotKeysCmds] - C:\Windows\system32\hkcmd.exe
HKLM\SOFTWARE | Run : [Persistence] - C:\Windows\system32\igfxpers.exe
HKLM\SOFTWARE | Run : [LManager] - C:\Program Files\Launch Manager\LManager.exe
HKLM\SOFTWARE | Run : [SynTPEnh] - %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe
HKLM\SOFTWARE | Run : [Power Management] - C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe
HKLM\SOFTWARE | Run : [avgnt] - "D:\Logiciels\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\SOFTWARE | Run : [SecureW2 Tray] - C:\Program Files\SecureW2\sw2_tray.exe
HKLM\SOFTWARE | Run : [UIExec] - "D:\Logiciels\JoinAir\Join Air\UIExec.exe"
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | Run : [AdobeAAMUpdater-1.0] - "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
HKLM\SOFTWARE | RunOnce : [] - 
HKU\S-1-5-19\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-20\SOFTWARE | Run : [Sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
HKU\S-1-5-21-459311313-3576997026-3100483538-1000\SOFTWARE | Run : [OfficeSyncProcess] - "C:\Program Files\Microsoft Office\Office14\MSOSYNC.EXE"
HKU\S-1-5-21-459311313-3576997026-3100483538-1000\SOFTWARE | Run : [DAEMON Tools Lite] - "D:\Logiciels\DAEMON Tools Lite\DTLite.exe" -autorun
HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-19\SOFTWARE | RunOnce : [IsMyWinLockerReboot] - msiexec.exe /qn /x{voidguid}
HKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe
HKU\S-1-5-20\SOFTWARE | RunOnce : [IsMyWinLockerReboot] - msiexec.exe /qn /x{voidguid}
HKU\S-1-5-18\SOFTWARE | RunOnce : [IsMyWinLockerReboot] - msiexec.exe /qn /x{voidguid}

################## | Files # Infected Folders |

Found ! C:\Users\usuario\AppData\Local\Temp\20120702IminentSetup.exe
Found ! E:\autorun.inf
Found ! F:\Recycler\R-1-5-21-1482476501-1644491937-682003330-1013

################## | Registry |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\D
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{0db27840-1826-11e2-bbda-60d8198f9b8b}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{0db2784f-1826-11e2-bbda-e89a8fe748b0}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{18227c3c-1833-11e2-9b96-e89a8fe748b0}
Shell\AutoRun\Command = F:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{59d00c60-828b-11e2-95bc-e89a8fe748b0}
Shell\AutoRun\Command = E:\Desperados.exe -autorun

HKCU\.\.\.\.\Explorer\MountPoints2\{a7e89a25-19a1-11e2-811a-e89a8fe748b0}
Shell\AutoRun\Command = D:\AutoRun.exe



################## | Vaccin |

(!) This computer is not vaccinated!

################## | E.O.F | https://www.sosvirus.net/ |

Smart91 · Answer

OK Tu résides en Espagne, les rapports sont en espagnol !

On va s'occuper de la troisième clé après cette manip et surtout on va  nettoyer et vacciner ces clés et ton PC.

- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Smart

Javikiko · Answer

En effet mon ordinateur est configuré en español, j'espère que ça ne te gène pas trop pour lire les rapports.

J'ai eu un problème avec UsbFix.

Je le lance, je choisis suppression, ça me demande :
- de connecter les clés USB (ce que j'ai déjà fait avant de lancer le programme)
- d'allumer mon disque dur externe (j'en ai pas)
- de désactiver la protection en temps reel d'Avira. (ce que j'avais deja fait aussi) 

On est a 10% de progression.

Ensuite ça m'explique que tous les programmes non vitaux vont être fermé, je valide. Le bureau disparait.

On est a 14% de progression.

Et ensuite ça se bloque. J'ai attendu plus d'une demi heure et c'était toujours a 14%, en voulant bouger la souris le programme s'est mis en mode "pas de réponse" et je ne pouvais plus rien faire, j'ai donc du eteindre le PC avec le bouton power et le rallumer. J'ai reessayé et obtenu le même résultat.

C'est un problème avec le logiciel, ou c'est normal et je devras attendre plusieurs heures à 14% sans m'inquiéter?

J'attends tes instructions pour la suite :)

Smart91 · Answer

Essaie de relancer USBFix en mode sans échec.
Comment redémarrer en mode sans échec ? 

Smart

Javikiko · Answer

Je crois que le lien est mort, ça me renvoie à la page d'accueil :/ 

Mais bon si c'est juste redemarrer en mode sans echec je pense pouvoir y arriver (avec F8 je crois)

EDIT : Jài lancé le mode sans echec je regarde ce que ça donne ;) )

Smart91 · Answer

Sinon essaie ce lien:
Démarrer en Mode Sans Echec 

Smart

Javikiko · Answer

J'ai testé deux fois en mode sans échec, ça va un peu plus loin, mais malheureusement ça se bloque cette fois à 52% (j'ai encore été obligé d'arreter le programme à la sauvage)

J'attends tes instructions pour la suite :)

Smart91 · Answer

Bon on laisse tomber avec USBFix. On va le faire manuellement

Refais un scan ZHPDiag (Loupe +) et poste le rapport via pjjoint 

Smart

Javikiko · Answer

Voici le rapport ZHP : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130413_g7e14w1413e7

Juste au cas où je te mets aussi le log de UsbFix qu'il a produit (la première fois en mode démarrage normal) malgré le plantage :

UsbFix : https://pjjoint.malekal.com/files.php?id=20130413_14p12k10k5n5

Smart91 · Answer

Branche les clés comme pour USBFix

Télécharge sur ton bureau ce fichier Javikiko en faisant clic droit enregistrer la cible..

Ouvre le fichier Javikiko, sélectionne et copie toutes les lignes.

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes du fichier Javikiko se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC

Smart

Javikiko · Answer

J'ai suivi tes instructions et redémarré mon pc, voilà le rapport de ZHP :

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : 
Run by usuario at 14/04/2013 01:04:30
High Elevated Privileges : OK
Windows 7 Starter Edition, 32-bit Service Pack 1 (Build 7601)

Recycle Files Deleted

========== Memory Process ==========
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\incredibar_installer.exe
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\MyBabylonTB.exe
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\UpdateCheckerSetup.exe
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\MyBabylonTB_google_20120807.exe.0
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\MyBabylonTB_google_20120807.exe.1
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\MyBabylonTB_google_20120807.exe.2
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\MyBabylonTB_google_20120807.exe.3
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\MyBabylonTB_google_20120807.exe.4
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\MyBabylonTB_google_20120807.exe.5
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\MyBabylonTB_google_20120807.exe.6
DELETED Memory Process: C:\Users\usuario\AppData\Local\Temp\MyBabylonTB_google_20120807.exe.7

========== Registry Key ==========
DELETED Key: SearchScopes :{E5505B54-4169-4246-B4ED-D0D6FB8B253B}
DELETED CLSID MPSK: {0db27840-1826-11e2-bbda-60d8198f9b8b}
DELETED CLSID MPSK: {0db2784f-1826-11e2-bbda-e89a8fe748b0}
DELETED CLSID MPSK: {18227c3c-1833-11e2-9b96-e89a8fe748b0}
DELETED CLSID MPSK: {a7e89a25-19a1-11e2-811a-e89a8fe748b0}

========== Registry Value ==========
NOT FOUND IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
NOT FOUND TCPIP: DhcpNameServer
No Value in Standard Profile Register Key FirewallRaz : 
No Value in Domain Profile Register Key FirewallRaz : 
No Value in Firewall Exception Register Key (FirewallRaz)

========== Repertory ==========
DELETED Folder: C:\Users\usuario\AppData\Local\{12CCDECC-9BF1-4101-9A8E-05261C08DA21}
DELETED Folder: C:\Users\usuario\AppData\Local\{18B80232-51BD-46EE-A1AA-00FE2694C4AA}
DELETED Folder: C:\Users\usuario\AppData\Local\{2A6B2E47-4B9C-49DB-9B25-9B78E0E2BE6E}
DELETED Folder: C:\Users\usuario\AppData\Local\{30D1D6EA-C8CF-4866-8572-663143C4D35C}
DELETED Folder: C:\Users\usuario\AppData\Local\{78965119-A2FB-4D54-A19E-18165FE9F70F}
DELETED Folder: C:\Users\usuario\AppData\Local\{A6818ACD-F1E7-408D-9200-83E81DAAE31F}
DELETED Folder: C:\Users\usuario\AppData\Local\{BBD92DDB-7B58-49D5-B1C4-6131DE525AE9}
DELETED Folder: C:\Users\usuario\AppData\Local\{E1C9257A-0339-45F1-9FF6-9F4C0AF480DA}
DELETED Folder: C:\Users\usuario\AppData\Local\{F291CDA2-1700-4034-ABD4-0344C5789DE0}
DELETED Folder: C:\Users\usuario\AppData\Local\{F5566ACD-AF4E-49CE-B9DF-840D79A075E2}

========== File ==========
DELETED File*: c:\users\usuario\appdata\local	emp\incredibar_installer.exe
DELETED File*: c:\users\usuario\appdata\local	emp\mybabylontb.exe
DELETED File: c:\users\usuario\appdata\local	emp\updatecheckersetup.exe
NOT FOUND Folder/File: c:\users\usuario\appdata\local	emp\incredibar_installer.exe
NOT FOUND Folder/File: c:\users\usuario\appdata\local	emp\mybabylontb.exe
DELETED File: c:\users\usuario\appdata\local	emp\mybabylontb_google_20120807.exe.0
DELETED File: c:\users\usuario\appdata\local	emp\mybabylontb_google_20120807.exe.1
DELETED File: c:\users\usuario\appdata\local	emp\mybabylontb_google_20120807.exe.2
DELETED File: c:\users\usuario\appdata\local	emp\mybabylontb_google_20120807.exe.3
DELETED File: c:\users\usuario\appdata\local	emp\mybabylontb_google_20120807.exe.4
DELETED File: c:\users\usuario\appdata\local	emp\mybabylontb_google_20120807.exe.5
DELETED File: c:\users\usuario\appdata\local	emp\mybabylontb_google_20120807.exe.6
DELETED File: c:\users\usuario\appdata\local	emp\mybabylontb_google_20120807.exe.7
NOT FOUND Folder/File: c:\users\usuario\appdata\local	emp\updatecheckersetup.exe
DELETED File: C:\Users\usuario\Desktop\Filereplace.bat
NOT FOUND Folder/File: c:\users\usuario\appdata\local	emp\20120702iminentsetup.exe
NOT FOUND Folder/File: f:ecycler-1-5-21-1482476501-1644491937-682003330-1013
NOT FOUND File: c:\windows	asks\autokms.job
DELETED Window Temporary
DELETED Flash Cookies

========== Task ==========
DELETED Task: AutoKMS


========== Summary ==========
11 : Memory Process
5 : Registry Key
5 : Registry Value
10 : Repertory
20 : File
1 : Task


End of clean in 00mn 43s

========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 14/04/2013 01:04:31 [4600]

Smart91 · Answer

Refais un scan ZHPDiag (Loupe+) et poste le rapport via pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet 

Smart

Javikiko · Answer

- J'ai fait la mise à jour de ZHP qui m'était proposée à l'ouverture du programme.
- J'ai fait le scan ZHPDiag (loupe +) sans mes 2 clés USB, juste avec la clé 3G dont je me sers pour être connecté à internet
- J'ai toujours pas touché à la 4eme clé USB
- Voici le rapport pijoint que tu m'as demandé :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130414_x8u11u12y6z8

Smart91 · Answer

On va vacciner les clés il faudra que tu le fasses deux fois puisque tu as 3 clés. 

- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
- Double clique sur le raccourci UsbFix présent sur ton bureau .
- Clique sur "Vacciner"
- Ensuite poste le rapport UsbFix.txt qui apparaîtra

Avant de passer à la phase finale, tu as les barres d'outils Bing et skype, que veux-tu que l'on fasse ? Les utilises-tu ? Si ce n'est la cas, elles sont donc inutiles.
 
Smart

Javikiko · Answer

J'ai un petit problème. Le rapport n'apparait à aucun endroit (ni sur le bureau, ni sur C:\ ou il y avait les autres rapports UsbFix)  

- Je clique sur UsbFix  
- Je clique sur Vacciner  
- Error during vaccination! (:\Autorun.inf)  
- Vaccination done! (C:\Autorun.inf)  
- Vaccination done! (D:\Autorun.inf)  
- Vaccination done! (E:\Autorun.inf)  
- Vaccination done! (F:\Autorun.inf)  
- Vaccination done! (G:\Autorun.inf)
- le logiciel se coupe et redemarre, mais pas de rapport

Je ne me sers ni de la barre Bing ni de la barre Skype, mais elles étaient installées par défaut quand j'ai acheté le PC, on peut les virer :)

Smart91 · Answer

Il y a un problème avec USBFix, je vais voir avec le développeur. Ce qui est satisfaisant c'est que tout a été vacciné. Vérifie les mises à jour disponibles à l'aide de ce petit programme Check&Update de igor 51 Optimisation: - Ferme toutes tes applications en cours - Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur") - Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui - Copie les lignes en gras suivantes : ---------------------------------------------------------- O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} . (...) -- D:\Logiciels\Toolbars\Internet Explorer\icon.ico [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] [HKLM\Software\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] [HKLM\Software\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] [HKLM\Software\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}] [HKLM\Software\Microsoft\Tracing\BingBar_RASMANCS] [HKLM\Software\Microsoft\Tracing\BingBar_RASAPI32] [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [HKLM\Software\Microsoft\Tracing\Setup_RASAPI32] [HKLM\Software\Microsoft\Tracing\Setup_RASMANCS] ---------------------------------------------------------- - Clique sur l'icône représentant le presse-papier ("coller le presse-papier") - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes - Clique sur le bouton « GO » pour le lancer le nettoyage - Copie/colle la totalité du rapport dans ta prochaine réponse Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections - Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... - Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. - Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). Désinstallation des outils - Réactivation de l'UAC - Purge Restauration et Création d'un point de restauration - Télécharge DelFix (d'Xplode) sur ton bureau. - Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) - Coche toutes les cases sauf "Faire une sauvegarde du registre" - Clique ensuite sur Exécuter puis patiente pendant le processus de suppression. - Le rapport sera enregistré dans le presse-papier. Copie/Colle le dans ta prochaine réponse. Quelques conseils de Prévention - Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. Installe l'extension de sécurité adblock plus pour bloquer les publicités ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html WOT - Extension pour ton navigateur internet : Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp Pour Chrome: https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr Ci-dessous un tutoriel pour t'aider à installer WOT: ==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise - Installe également ce programme qui va bloquer tous les sites qui proposent des adwares HOSTS Anti-PUPs/Adware Voici un tutoriel pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/ Si tu souhaites plus tard désinstaller HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau. Tu peux aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande. - Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html - Les logiciels gratuits à éviter - Ouvertures Pop-Up publicitaires - Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : Prévention et Protection - Un autre dossier sur: Comment se protéger des logiciels potentiellement indésirables (PUP) Sois plus vigilant(e) sur Internet à l'avenir Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas Smart

Javikiko · Answer

Voici le rapport ZHPFix :   

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013  
Fichier d'export Registre :   
Run by usuario at 14/04/2013 22:21:55  
High Elevated Privileges : OK  
Windows 7 Starter Edition, 32-bit Service Pack 1 (Build 7601)  

Recycle Files Deleted  

========== Registry Key ==========  
DELETED Key: CLSID Extra Buttons: {898EA8C8-E7FF-479B-8935-AEC46303B9E5}  
DELETED  Key: CLSID: [HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]  
DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}  
NOT FOUND Key: HKLM\Software\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}  
NOT FOUND Key: HKLM\Software\Microsoft\Internet Explorer\extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}  
DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}  
DELETED Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}  
DELETED Key: HKLM\Software\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}  
DELETED Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}  
DELETED Key: HKLM\Software\Microsoft\Tracing\BingBar_RASMANCS  
DELETED Key: HKLM\Software\Microsoft\Tracing\BingBar_RASAPI32  
DELETED Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}  
DELETED Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}  
DELETED Key: HKLM\Software\Microsoft\Tracing\Setup_RASAPI32  
DELETED Key: HKLM\Software\Microsoft\Tracing\Setup_RASMANCS  

========== File ==========  
DELETED File: d:\logiciels	oolbars\internet explorer\icon.ico   


========== Summary ==========  
15 : Registry Key  
1 : File  


End of clean in 00mn 06s  

========== Report File ==========  
C:\ZHP\ZHPFix[R1].txt - 14/04/2013 00:04:31 [4652]  
C:\ZHP\ZHPFix[R2].txt - 14/04/2013 22:21:56 [1941]

Et voici le rapport DelFix :

# DelFix v10.2 - Logfile created 14/04/2013 at 22:41:08
# Updated 02/04/2013 by Xplode
# Username : usuario - ACER-ASPIRE-ONE

~ Activating UAC ... OK

~ Removing disinfection tools ...

Deleted : C:\USBFix
Deleted : C:\ZHP
Deleted : C:\Users\usuario\Desktop\RK_Quarantine
Deleted : C:\Program Files\SEAF
Deleted : C:\AdwCleaner[S1].txt
Deleted : C:\PhysicalDisk0_MBR.bin
Deleted : C:\TDSSKiller.2.8.16.0_12.04.2013_17.06.30_log.txt
Deleted : C:\UsbFix [Scan 1] ACER-ASPIRE-ONE.txt
Deleted : C:\UsbFix [Scan 2] ACER-ASPIRE-ONE.txt
Deleted : C:\Users\usuario\Desktop\adwcleaner.exe
Deleted : C:\Users\usuario\Desktop\RKreport[1]_S_10042013_164656.txt
Deleted : C:\Users\usuario\Desktop\RKreport[2]_D_10042013_165019.txt
Deleted : C:\Users\usuario\Desktop\RKreport[3]_S_13042013_115928.txt
Deleted : C:\Users\usuario\Desktop\RKreport[4]_D_13042013_120259.txt
Deleted : C:\Users\usuario\Desktop\RogueKiller.exe
Deleted : C:\Users\usuario\Desktop\seaf.exe
Deleted : C:\Users\usuario\Desktop	dsskiller (1).exe
Deleted : C:\Users\usuario\Desktop\UsbFix (3).exe
Deleted : C:\Users\usuario\Desktop\ZHPDiag.txt
Deleted : C:\Users\usuario\Desktop\ZHPDiag2 (1).exe
Deleted : C:\Users\usuario\Desktop\ZHPFixReport.txt
Deleted : C:\Users\Public\Desktop\MBRCheck.lnk
Deleted : C:\Users\Public\Desktop\ZHPDiag.lnk
Deleted : C:\Users\Public\Desktop\ZHPFix.lnk
Deleted : C:\Users\usuario\Downloads\adwcleaner.exe
Deleted : C:\Users\usuario\Downloads\seaf.exe
Deleted : C:\Users\usuario\Downloads	dsskiller.exe
Deleted : C:\Users\usuario\Downloads\UsbFix (1).exe
Deleted : C:\Users\usuario\Downloads\UsbFix (2).exe
Deleted : C:\Users\usuario\Downloads\UsbFix (3).exe
Deleted : C:\Users\usuario\Downloads\UsbFix.exe
Deleted : C:\Users\usuario\Downloads\ZHPDiag2.exe
Deleted : HKCU\Software\USBFix
Deleted : HKLM\SOFTWARE\AdwCleaner
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Cleaning system restore ...

Deleted : RP #47 [Installé Microsoft Office Word Viewer 2003 | 02/27/2013 18:14:55]
Deleted : RP #48 [Instalación del paquete de controladores de dispositivo: DT Soft Ltd Dispositivos del sistema | 03/01/2013 17:55:12]
Deleted : RP #49 [Windows Update | 03/03/2013 04:07:51]
Deleted : RP #51 [Windows Live Essentials | 04/03/2013 14:46:26]
Deleted : RP #53 [Se ha instalado DirectX | 04/03/2013 14:49:17]
Deleted : RP #55 [Se ha instalado DirectX | 04/03/2013 14:50:27]
Deleted : RP #57 [Se ha instalado DirectX | 04/03/2013 14:51:14]
Deleted : RP #58 [WLSetup | 04/03/2013 14:53:30]
Deleted : RP #59 [Installed LibreOffice 4.0.2.2 | 04/05/2013 09:45:23]
Deleted : RP #61 [Instalado Join Air | 04/08/2013 10:39:03]
Deleted : RP #62 [Installed Adobe Photoshop Elements 11. | 04/10/2013 12:20:40]

New restore point created !

~ Resetting system settings ... OK

########## - EOF - ##########

Smart91 · Answer

WOT juge les sites Internet en se basant sur le vote des internautes, il ne va aucunement accéder à tes donner personnelles, sinon les contributeurs sécurité de CCM ne le proposeraient pas.

==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise 

Fais et lis bien la suite

Smart

Javikiko · Answer

Merci de m'avoir aidé Smart, sans toi je n'aurais surement pas réussi à éliminer ce virus.

Vous, les helpers, vous faites vraiment un travail incroyable, et en plus de manière bénévole et avec beaucoup de patience. Vous avez tous vraiment beaucoup de mérite! :)

Merci encore,

A bientot!

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Sirefef.gen!C - Besoin d'aide pour supprimer ce virus

40 réponses

Discussions similaires