Savoir si j'ai un virus quelconque

Résolu
AgHiro Messages postés 143 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Salut, j'ai récemment vu qu'un bot gratuit pour Dofus était à disposition. Je le télécharge naïvement, le logiciel ne se lance pas, je le supprime aussitôt. Après, mon Windows me dit qu'il faut desactiver un truc de sécurité et donc, redémarrer le PC, ce que je fais. Une fois fait, je réactive mon truc de protection et là les problèmes commence. Après une longue aventure d'essaie de désinstallation de fichiers inconnus, je demande de l'aide à un ami qui me dit de voir dans Processus s'il y a des trucs bizarres. Effectivement j'ai trouvé le fameux bot qui ne s'était normalement pas installer, bref, j'enlève tout ce qui me parait suspect. Mais je me sens encore en danger, donc si des personnes pourraient m'aider ou me rediriger vers un lien, MERCI !

21 réponses

  • 1
  • 2
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Sûrement un RAT qui a pompé tes mots de passe.

    On va voir :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    ▶ Télécharge ici :OTL

    ▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

    ▶ Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
    ▶ Coche les cases à coté de Recherche Lop et Recherche Purity.
    Laisse tous les autres paramètres par défaut

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


    msconfig
    netsvcs
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    winsock.*
    /md5stop
    %temp%\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    BASESERVICES
    CREATERESTOREPOINT
    SAVEMBR:0


    ▶ Clic sur Analyse.

    A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

    NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

    Ces fichiers se trouvent à côté de l'exécutable OTL.exe

    héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

    NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
    0
  2. AgHiro Messages postés 143 Statut Membre 12
     
    Merci de m'avoir répondu, le scan vient de se terminer et je n'ai pas trop compris, tu ne veux pas que je cop'/colle le résultat ?
    Enfin, j'ai vu dans la fiche OTL.txt le fameux bot/virus avec l'adresse :
    C:\Users\User\AppData\Local\Temp\updater.exe
    J'ai voulu supprimer mais il m'a dit qu'il était ouvert, je suis allé dans Processus et je l'ai fermé puis j'ai pu le supprimer.
    Et pendant qu'on y est j'ai encore un autre soucis, précédemment, j'ai parlé d'un truc de sécu' Windows, en faite ça s'appelle "Centre de sécurité Windows"
    Quand je voulais l'activé, il me disait que c'était impossible mais grâce à l'aide de personnes sur internet, j'ai pu l'activé, mais après c'est Avast qui est "désactivé" alors qu'il est bien mis "sécurisé"
    0
  3. AgHiro Messages postés 143 Statut Membre 12
     
    Et j'ai oublié de dire que maintenant quand je lance Dofus, il me demande d'activer ou laisser le mode restreint, évidemment je choisi de le désactiver mais après mon Dofus crash..
    Et quand je choisi de rester en restreint, c'est bon, j'ai pensé à désactiver le truc de sécurité Dofus mais le hacker risque de pouvoir utiliser mon compte..
    0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Fais ce qui est demandé STP.

    Donc tu envoie OTL.txt et extras.txt sur FEC Upload et tu donnes les liens, t'occupe pas du reste et ne prends pas d'initiatives ou tu vas chambouler tout le protocole de désinfection. Merci.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. AgHiro Messages postés 143 Statut Membre 12
     
    Re, j'ai remarqué que dans le gestionnaire des tâches, dans Processus, à chaque redémarrage le bot/virus revient à chaque fois même quand je supprime vraiment tout de lui...
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Quelle horreur le format de compression RAR ...
    ça prend plus de place sur mon hébergeur qu'envoyer les 2 fichiers texte !

    ==================

    Advanced System Care => poubelle ! ça sert à rien du tout ce bidule !
    Voir : https://forums.commentcamarche.net/forum/affich-27465292-protection-de-pc#26

    ~~

    Envoie C:\Users\User\AppData\Local\Temp\updater.exe et C:\Users\User\AppData\Local\launcher.exe sur http://upload.malekal.com
    Merci de ta contribution

    ~~

    Seulement après avoir envoyé les fichiers.
    Relance OTL
    Dans personnalisation colle ça :

    :OTL
    PRC - [2013/04/09 20:19:24 | 000,355,328 | ---- | M] (PheonixBot) -- C:\Users\User\AppData\Local\Temp\updater.exe
    O4 - HKLM\..\Run: [launcher] C:\Users\User\AppData\Local\launcher.exe (Microsoft)      
    O4 - HKU\S-1-5-21-2719264124-1757120138-2896462649-1000\..\Run: [launcher] C:\Users\User\AppData\Local\launcher.exe (Microsoft)      
    O4 - Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\launcher.exe (Microsoft)
    [2013/04/16 11:20:40 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bundled software uninstaller 
    
    :Commands
    [EMPTYTEMP]


    Click CORRECTION et copie/colle le rapport dans ta prochaine réponse.

    A+

    0
  8. AgHiro Messages postés 143 Statut Membre 12
     
    Merci pour ton aide, je ne trouve plus Phoenix bot mais dans "C:\Users\User\AppData\Local\Temp" il y a beaucoup de choses qui ont disparues, est-ce normal ? Je vais essayer si Dofus marche bien ^^
    Voici le résultat de la correction :

    No active process named updater.exe was found!
    Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
    C:\Users\User\AppData\Local\launcher.exe moved successfully.
    Registry value HKEY_USERS\S-1-5-21-2719264124-1757120138-2896462649-1000\\Software\Microsoft\Windows\CurrentVersion\Run\\launcher not found.
    File C:\Users\User\AppData\Local\launcher.exe not found.
    File C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\launcher.exe not found.
    C:\Users\User\AppData\Local\Bundled software uninstaller folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 57472 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Public

    User: User
    ->Temp folder emptied: 2549256 bytes
    ->Temporary Internet Files folder emptied: 7520485 bytes
    ->Java cache emptied: 334288 bytes
    ->Google Chrome cache emptied: 211744222 bytes
    ->Flash cache emptied: 58322 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 18058418 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50674 bytes
    RecycleBin emptied: 355328 bytes

    Total Files Cleaned = 230,00 mb

    OTL by OldTimer - Version 3.2.69.0 log created on 04242013_185329

    Files\Folders moved on Reboot...
    C:\Users\User\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ça a l'air bon.

    ▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

    ▶ Exécute-le. Accepte la mise à jour.

    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique donc sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
    0
  10. AgHiro Messages postés 143 Statut Membre 12
     
    Le scan est en train de se faire, également, j'ai remarqué qu'à chaque redémarrage de l'ordinateur, je dois réactiver le centre de sécurité Windows et dans le Gestionnaire de tâches > Processus, il y a toujours le bot/virus.. J'espère que MBAM réglera ce problème :/
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Envoie moi par message privé le lien où tu as téléchargé cette m€rde, merci.
    Je vais étudier son comportement même si ça m'a tout l'air d'un RAT darkcomet codé "à la 6-4-2" par un script kiddie :)
    0
  12. AgHiro Messages postés 143 Statut Membre 12
     
    Tiens le rapport, j'ai vraiment tout tout copié, au cas ou... :
    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.04.24.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    User :: AGHIRO [administrateur]

    25/04/2013 11:07:37
    mbam-log-2013-04-25 (11-07-37).txt

    Type d'examen: Examen complet (C:\|E:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 404230
    Temps écoulé: 1 heure(s), 6 minute(s), 7 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 2
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|launcher (Trojan.MSIL) -> Données: C:\Users\User\AppData\Local\launcher.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|launcher (Trojan.MSIL) -> Données: C:\Users\User\AppData\Local\launcher.exe -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 7
    C:\Users\User\AppData\Local\launcher.exe (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files\Adobe\Adobe Photoshop CS6 (64 Bit)\amtlib.dll (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\Program Files (x86)\Adobe\Adobe Photoshop CS6\amtlib.dll (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\launcher.exe (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\User\Downloads\Cracks\Crack Photoshop CS6.rar (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\User\Downloads\Cracks\Crack.rar (PUP.RiskwareTool.CK) -> Mis en quarantaine et supprimé avec succès.
    C:\_OTL\MovedFiles\04242013_185329\C_Users\User\AppData\Local\launcher.exe (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    C'est malin de faire joujou avec des Cr@cks ça t'apprendra :)

    Normalement l'aide doit s'arrêter ici mais t'as été assez honnête donc on continue.

    Relance OTL, clique sur Analyse rapide, envoie OTL.txt sur fec upload et copie/colle le lien.
    0
    1. Utilisateur anonyme
       
      bonjour
      C'est malin de faire joujou avec des Cr@cks ça t'apprendra :)
      Toujours les mêmes causes(Cr@cks) qui provoquent les mêmes effets(infections)
      Tu a de la chance d'être tomber sur juju666,d'autres aurais laisser tomber :-)
      Bonne désinfection !
      0
    2. AgHiro Messages postés 143 Statut Membre 12
       
      Pourtant avant j'en avais déjà des cracks et jamais rien :'(
      0
  14. AgHiro Messages postés 143 Statut Membre 12
     
    Merci de continuer à m'aider ^^
    Voici le lien :
    https://forums-fec.be/upload/www/?a=d&i=9428566221
    0
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Pnaize tu le relance ce bidule ou quoi ?
    Il est encore actif, il a recréé ses clés pour s'exécuter automatiquement et tout :/

    Envoie lui un coup de combofix dans la troche on verra s'il fait encore le malin après ça :

    ▶ Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix

    Ferme les fenêtres de tous les programmes en cours.
    Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur combofix renommé

    Si tu es sur Windows XP, laisse-le installer la console de récupération.

    ▶ Ne touche à rien durant le scan

    ComboFix devrait redémarrer ton PC.

    ▶ n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
    0
  16. AgHiro Messages postés 143 Statut Membre 12
     
    Bref, j'ai réussi ^^ :
    ComboFix 13-04-25.01 - User 25/04/2013 14:16:17.1.2 - x64
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3964.2764 [GMT 2:00]
    Lancé depuis: c:\users\User\Desktop\Rayan.exe
    AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
    SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    C:\Autorun.inf
    C:\install.exe
    c:\users\User\AppData\Local\Temp\updater.exe
    c:\users\User\AppData\Roaming\app
    c:\users\User\AppData\Roaming\app\Jerakine_lang.dat
    c:\users\User\AppData\Roaming\app\Jerakine_lang_vesrion.dat
    c:\users\User\AppData\Roaming\flushfile_4554714.tmp
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2013-03-25 au 2013-04-25 ))))))))))))))))))))))))))))))))))))
    .
    .
    2013-11-21 10:09 . 2013-01-31 12:51 -------- d-----w- c:\windows\SoftwareDistribution.Old
    2013-11-21 10:06 . 2013-04-01 11:28 -------- d-----w- c:\windows\Panther
    2013-11-21 10:06 . 2013-04-24 14:08 -------- d-----w- C:\Boot
    2013-04-24 17:11 . 2013-04-24 17:11 -------- d-----w- c:\users\User\AppData\Roaming\Malwarebytes
    2013-04-24 17:11 . 2013-04-24 17:11 -------- d-----w- c:\programdata\Malwarebytes
    2013-04-24 17:11 . 2013-04-24 17:11 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
    2013-04-24 17:11 . 2013-04-04 12:50 25928 ----a-w- c:\windows\system32\drivers\mbam.sys
    2013-04-24 17:04 . 2013-04-24 17:04 -------- d-----w- c:\users\User\AppData\Roaming\Apple Computer
    2013-04-24 16:53 . 2013-04-24 16:53 -------- d-----w- C:\_OTL
    2013-04-24 10:43 . 2013-04-24 10:43 -------- d-----w- c:\users\User\AppData\Roaming\DofusTesting-3
    2013-04-24 09:14 . 2013-04-24 09:14 512 ----a-w- C:\PhysicalMBR.bin
    2013-04-24 09:05 . 2013-04-12 14:45 1656680 ----a-w- c:\windows\system32\drivers\ntfs.sys
    2013-04-23 20:12 . 2013-04-23 20:12 -------- d-----w- c:\program files (x86)\Dofus2
    2013-04-23 19:27 . 2004-03-08 22:00 1081616 ----a-w- c:\windows\SysWow64\mscomctl.ocx
    2013-04-23 19:27 . 2006-03-22 19:44 9728 ----a-w- c:\windows\SysWow64\TCMSVR.dll
    2013-04-23 19:27 . 2004-03-08 22:00 152848 ----a-w- c:\windows\SysWow64\Comdlg32.ocx
    2013-04-23 19:27 . 2013-04-23 19:27 -------- d-----w- c:\program files (x86)\TOSHIBA
    2013-04-23 19:26 . 2013-04-23 19:26 -------- d-----w- c:\program files (x86)\Common Files\InstallShield
    2013-04-23 18:59 . 2013-04-23 18:59 -------- d-----w- c:\users\User\AppData\Roaming\QuickScan
    2013-04-23 08:39 . 2013-04-23 08:39 -------- d-----w- c:\users\User\AppData\Roaming\Reg.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
    2013-04-23 08:39 . 2013-04-23 08:39 -------- d-----w- c:\users\User\AppData\Roaming\DofusTesting
    2013-04-23 08:35 . 2013-04-10 03:46 9317456 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{CE1589E4-0F5C-46CE-8601-800CD119FE59}\mpengine.dll
    2013-04-22 15:33 . 2013-04-25 10:35 -------- d-----w- c:\users\User\AppData\Roaming\AnkamaCertificates
    2013-04-22 15:33 . 2013-04-24 23:11 -------- d-----w- c:\users\User\AppData\Roaming\dofus2
    2013-04-22 15:33 . 2013-04-22 15:33 -------- d-----w- c:\users\User\AppData\Roaming\DofusTesting-2
    2013-04-22 10:01 . 2013-04-22 10:19 -------- d-----w- c:\users\User\AppData\Roaming\.minecraft
    2013-04-21 22:05 . 2013-04-21 22:05 -------- d-----w- c:\users\User\AppData\Roaming\Unity
    2013-04-21 21:21 . 2013-04-21 21:21 348160 ----a-w- c:\windows\SysWow64\msvcr71.dll
    2013-04-21 21:21 . 2013-04-21 21:21 1700352 ----a-w- c:\windows\SysWow64\gdiplus.dll
    2013-04-21 21:21 . 2013-04-21 21:21 1060864 ----a-w- c:\windows\SysWow64\mfc71.dll
    2013-04-21 21:20 . 2013-04-21 21:20 -------- d-----w- c:\program files (x86)\VstPlugins
    2013-04-21 21:20 . 2006-06-20 08:56 225280 ----a-w- c:\windows\SysWow64\rewire.dll
    2013-04-21 21:20 . 2009-09-15 09:14 1554944 ----a-w- c:\windows\SysWow64\vorbis.acm
    2013-04-21 21:20 . 2013-04-21 21:20 -------- d-----w- c:\program files (x86)\Outsim
    2013-04-21 21:16 . 2013-04-21 21:20 -------- d-----w- c:\program files (x86)\Image-Line
    2013-04-21 20:54 . 2013-04-21 20:54 -------- d-----w- c:\users\User\AppData\Local\Unity
    2013-04-20 19:01 . 2013-04-24 14:30 -------- d-----w- c:\users\User\AppData\Roaming\.hardfight
    2013-04-20 15:46 . 2013-04-20 15:46 -------- d-----w- c:\users\User\AppData\Local\Clavier+
    2013-04-19 17:54 . 2010-11-26 16:02 17720 ----a-w- c:\windows\system32\drivers\SmartDefragDriver.sys
    2013-04-19 17:45 . 2013-04-19 17:45 -------- d-----w- c:\program files (x86)\Common Files\Java
    2013-04-19 17:45 . 2013-04-04 03:35 95648 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll
    2013-04-19 16:07 . 2013-04-19 16:07 96768 ----a-w- c:\windows\SysWow64\sspicli.dll
    2013-04-19 16:07 . 2013-04-19 16:07 458712 ----a-w- c:\windows\system32\drivers\cng.sys
    2013-04-19 16:07 . 2013-04-19 16:07 340992 ----a-w- c:\windows\system32\schannel.dll
    2013-04-19 16:07 . 2013-04-19 16:07 247808 ----a-w- c:\windows\SysWow64\schannel.dll
    2013-04-19 16:07 . 2013-04-19 16:07 22016 ----a-w- c:\windows\SysWow64\secur32.dll
    2013-04-19 16:07 . 2013-04-19 16:07 154480 ----a-w- c:\windows\system32\drivers\ksecpkg.sys
    2013-04-19 16:07 . 2013-04-19 16:07 1448448 ----a-w- c:\windows\system32\lsasrv.dll
    2013-04-19 16:05 . 2013-04-19 16:05 514560 ----a-w- c:\windows\SysWow64\qdvd.dll
    2013-04-19 16:05 . 2013-04-19 16:05 366592 ----a-w- c:\windows\system32\qdvd.dll
    2013-04-18 23:58 . 2013-01-15 16:49 26432 ----a-w- c:\windows\system32\RegistryDefragBootTime.exe
    2013-04-18 16:41 . 2013-04-18 16:41 -------- d-----w- c:\users\User\AppData\Local\Razer
    2013-04-18 16:12 . 2013-04-18 16:12 -------- d-----w- c:\programdata\Razer
    2013-04-18 16:12 . 2013-04-18 16:12 -------- d-----w- c:\program files (x86)\Razer
    2013-04-18 13:18 . 2013-04-18 13:18 -------- d-----w- c:\programdata\{CED89F1A-945F-46EC-B23C-5EAF6D2DB12A}
    2013-04-18 13:18 . 2013-04-18 13:18 -------- d-----w- c:\programdata\{BDDB56DE-AE4E-48A2-B856-FB60C8498453}
    2013-04-18 13:17 . 2013-04-24 17:11 -------- d-----w- c:\users\User\AppData\Roaming\IObit
    2013-04-18 13:17 . 2013-04-24 17:11 -------- d-----w- c:\programdata\IObit
    2013-04-16 12:05 . 2013-04-16 12:05 -------- d-----w- c:\users\User\AppData\Roaming\TuneUp Software
    2013-04-16 12:05 . 2013-04-16 12:05 -------- d-----w- c:\programdata\TuneUp Software
    2013-04-16 12:05 . 2013-04-16 12:05 -------- d-sh--w- c:\programdata\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
    2013-04-16 12:05 . 2013-04-16 12:05 -------- d--h--w- c:\programdata\Common Files
    2013-04-16 12:03 . 2013-04-16 12:03 -------- d-----w- c:\users\User\AppData\Roaming\Todae
    2013-04-16 09:48 . 2008-07-12 06:18 467984 ----a-w- c:\windows\SysWow64\d3dx10_39.dll
    2013-04-16 09:48 . 2008-07-12 06:18 1493528 ----a-w- c:\windows\SysWow64\D3DCompiler_39.dll
    2013-04-16 09:48 . 2008-07-12 06:18 540688 ----a-w- c:\windows\system32\d3dx10_39.dll
    2013-04-16 09:48 . 2008-07-12 06:18 1942552 ----a-w- c:\windows\system32\D3DCompiler_39.dll
    2013-04-16 09:48 . 2008-07-12 06:18 3851784 ----a-w- c:\windows\SysWow64\D3DX9_39.dll
    2013-04-16 09:48 . 2008-07-12 06:18 4992520 ----a-w- c:\windows\system32\D3DX9_39.dll
    2013-04-16 09:20 . 2013-04-16 09:20 -------- d-----w- c:\windows\SysWow64\searchplugins
    2013-04-16 09:20 . 2013-04-16 09:20 -------- d-----w- c:\windows\SysWow64\Extensions
    2013-04-16 09:17 . 2013-04-16 09:17 283200 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
    2013-04-16 09:17 . 2013-04-18 15:43 -------- d-----w- c:\users\User\AppData\Roaming\DAEMON Tools Lite
    2013-04-16 09:17 . 2013-04-16 09:17 -------- d-----w- c:\program files (x86)\DAEMON Tools Lite
    2013-04-16 09:16 . 2013-04-16 09:26 -------- d-----w- c:\programdata\DAEMON Tools Lite
    2013-04-15 17:57 . 2013-04-15 17:57 -------- d-----w- c:\programdata\regid.1986-12.com.adobe
    2013-04-15 17:53 . 2013-04-15 17:56 -------- d-----w- c:\program files\Adobe
    2013-04-15 17:44 . 2013-04-15 17:57 -------- d-----w- c:\program files\Common Files\Adobe
    2013-04-15 16:05 . 2013-04-15 16:05 -------- d-----w- c:\program files (x86)\Adobe Download Assistant
    2013-04-10 18:38 . 2013-03-01 03:36 3153408 ----a-w- c:\windows\system32\win32k.sys
    2013-04-10 18:38 . 2013-01-24 06:01 223752 ----a-w- c:\windows\system32\drivers\fvevol.sys
    2013-04-10 18:38 . 2013-03-19 06:04 5550424 ----a-w- c:\windows\system32\ntoskrnl.exe
    2013-04-10 18:38 . 2013-03-19 05:04 3913560 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
    2013-04-10 18:38 . 2013-03-19 05:04 3968856 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
    2013-04-10 18:38 . 2013-03-19 05:46 43520 ----a-w- c:\windows\system32\csrsrv.dll
    2013-04-10 18:38 . 2013-03-19 04:47 6656 ----a-w- c:\windows\SysWow64\apisetschema.dll
    2013-04-10 18:38 . 2013-03-19 03:06 112640 ----a-w- c:\windows\system32\smss.exe
    2013-04-08 19:06 . 2008-07-31 08:41 238088 ----a-w- c:\windows\SysWow64\xactengine3_2.dll
    2013-04-08 19:05 . 2006-02-03 06:43 3830992 ----a-w- c:\windows\system32\d3dx9_29.dll
    2013-04-08 19:05 . 2005-12-05 16:09 3815120 ----a-w- c:\windows\system32\d3dx9_28.dll
    2013-04-08 19:05 . 2005-07-22 17:59 3807440 ----a-w- c:\windows\system32\d3dx9_27.dll
    2013-04-08 19:05 . 2005-05-26 13:34 3767504 ----a-w- c:\windows\system32\d3dx9_26.dll
    2013-04-08 19:05 . 2005-05-26 13:34 2297552 ----a-w- c:\windows\SysWow64\d3dx9_26.dll
    2013-04-08 19:05 . 2005-03-18 15:19 3823312 ----a-w- c:\windows\system32\d3dx9_25.dll
    2013-04-08 19:05 . 2005-02-05 17:45 3544272 ----a-w- c:\windows\system32\d3dx9_24.dll
    2013-04-06 15:32 . 2013-04-06 15:36 -------- d-----w- c:\program files (x86)\Call of Duty
    2013-04-06 11:23 . 2012-11-23 03:13 68608 ----a-w- c:\windows\system32\taskhost.exe
    2013-04-04 13:03 . 2013-04-04 13:03 -------- d-----w- c:\windows\system32\SPReview
    2013-04-04 13:01 . 2013-04-04 13:01 -------- d-----w- c:\windows\system32\EventProviders
    2013-04-04 11:20 . 2010-11-05 01:57 48976 ----a-w- c:\windows\system32\netfxperf.dll
    2013-04-04 11:20 . 2010-11-05 01:57 1942856 ----a-w- c:\windows\system32\dfshim.dll
    2013-04-04 11:20 . 2010-11-05 01:58 1130824 ----a-w- c:\windows\SysWow64\dfshim.dll
    2013-04-04 11:18 . 2010-11-20 13:25 1525248 ----a-w- c:\program files\Windows Media Player\wmpnetwk.exe
    2013-04-04 11:17 . 2010-11-20 13:27 501248 ----a-w- c:\windows\system32\WinSATAPI.dll
    2013-04-04 11:16 . 2010-11-20 13:27 812032 ----a-w- c:\windows\system32\wpccpl.dll
    2013-04-04 11:15 . 2010-11-20 13:27 78848 ----a-w- c:\windows\system32\spbcd.dll
    2013-04-04 11:14 . 2010-11-20 12:59 3072 ----a-w- c:\windows\system32\drivers\fr-FR\serscan.sys.mui
    2013-04-04 11:14 . 2010-11-20 13:26 399872 ----a-w- c:\windows\system32\dpx.dll
    2013-04-04 11:14 . 2010-11-20 12:21 189952 ----a-w- c:\windows\SysWow64\wdscore.dll
    2013-04-04 11:14 . 2010-11-20 12:21 189952 ----a-w- c:\windows\SysWow64\sqmapi.dll
    2013-04-04 11:14 . 2010-11-20 12:21 363008 ----a-w- c:\windows\SysWow64\wbemcomn.dll
    2013-04-04 11:14 . 2010-11-20 12:21 189952 ----a-w- c:\program files (x86)\Windows Portable Devices\sqmapi.dll
    2013-04-04 11:14 . 2010-11-20 12:19 606208 ----a-w- c:\windows\SysWow64\wbem\fastprox.dll
    2013-04-04 11:13 . 2010-11-20 13:27 529408 ----a-w- c:\windows\system32\wbemcomn.dll
    2013-04-04 11:13 . 2010-11-20 13:27 244736 ----a-w- c:\program files\Windows Portable Devices\sqmapi.dll
    2013-04-04 11:13 . 2010-11-20 13:27 244736 ----a-w- c:\windows\system32\sqmapi.dll
    2013-04-02 17:10 . 2013-04-22 09:22 -------- d-----w- c:\users\User\AppData\Roaming\uTorrent
    2013-04-01 18:09 . 2013-04-19 18:34 -------- d-----w- c:\users\User\AppData\Roaming\Audacity
    2013-04-01 10:21 . 2010-02-04 08:01 74072 ----a-w- c:\windows\SysWow64\XAPOFX1_4.dll
    2013-04-01 10:21 . 2010-02-04 08:01 528216 ----a-w- c:\windows\SysWow64\XAudio2_6.dll
    2013-04-01 10:21 . 2010-02-04 08:01 238936 ----a-w- c:\windows\SysWow64\xactengine3_6.dll
    2013-04-01 10:21 . 2010-02-04 08:01 22360 ----a-w- c:\windows\SysWow64\X3DAudio1_7.dll
    2013-04-01 10:21 . 2009-03-09 13:27 4178264 ----a-w- c:\windows\SysWow64\D3DX9_41.dll
    2013-04-01 10:21 . 2007-04-04 16:53 81768 ----a-w- c:\windows\SysWow64\xinput1_3.dll
    2013-04-01 10:21 . 2007-03-12 14:42 3495784 ----a-w- c:\windows\SysWow64\d3dx9_33.dll
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2013-04-24 17:25 . 2013-01-31 13:33 71048 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
    2013-04-24 17:25 . 2013-01-31 13:33 691592 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
    2013-04-10 20:35 . 2013-01-31 15:35 72702784 ----a-w- c:\windows\system32\MRT.exe
    2013-04-04 13:17 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll
    2013-04-04 13:17 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll
    2013-03-24 16:18 . 2013-03-24 16:19 861088 ----a-w- c:\windows\SysWow64\npDeployJava1.dll
    2013-03-24 16:18 . 2013-03-24 16:19 782240 ----a-w- c:\windows\SysWow64\deployJava1.dll
    2013-03-11 23:10 . 2013-01-31 13:02 282744 ------w- c:\windows\system32\MpSigStub.exe
    2013-03-06 23:33 . 2013-01-31 12:54 377920 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2013-03-06 23:33 . 2013-01-31 12:54 70992 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
    2013-03-06 23:33 . 2013-01-31 12:54 68920 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2013-03-06 23:33 . 2013-01-31 12:54 1025808 ----a-w- c:\windows\system32\drivers\aswSnx.sys
    2013-03-06 23:33 . 2013-01-31 12:54 33400 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2013-03-06 23:33 . 2013-01-31 12:53 80816 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
    2013-03-06 23:32 . 2013-01-31 12:53 41664 ----a-w- c:\windows\avastSS.scr
    2013-03-06 23:32 . 2013-01-31 12:53 287840 ----a-w- c:\windows\system32\aswBoot.exe
    2013-02-12 05:45 . 2013-04-06 11:24 135168 ----a-w- c:\windows\apppatch\AppPatch64\AcXtrnal.dll
    2013-02-12 05:45 . 2013-04-06 11:24 308736 ----a-w- c:\windows\apppatch\AppPatch64\AcGenral.dll
    2013-02-12 05:45 . 2013-04-06 11:24 111104 ----a-w- c:\windows\apppatch\AppPatch64\acspecfc.dll
    2013-02-12 05:45 . 2013-04-06 11:24 350208 ----a-w- c:\windows\apppatch\AppPatch64\AcLayers.dll
    2013-02-12 04:48 . 2013-04-06 11:24 474112 ----a-w- c:\windows\apppatch\AcSpecfc.dll
    2013-02-12 04:48 . 2013-04-06 11:24 2176512 ----a-w- c:\windows\apppatch\AcGenral.dll
    2013-02-12 04:12 . 2013-03-24 13:01 19968 ----a-w- c:\windows\system32\drivers\usb8023.sys
    2013-01-31 15:19 . 2013-01-31 15:19 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
    2013-01-31 15:19 . 2013-01-31 15:19 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
    2013-01-31 15:19 . 2013-01-31 15:19 89088 ----a-w- c:\windows\system32\ie4uinit.exe
    2013-01-31 15:19 . 2013-01-31 15:19 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
    2013-01-31 15:19 . 2013-01-31 15:19 85504 ----a-w- c:\windows\system32\iesetup.dll
    2013-01-31 15:19 . 2013-01-31 15:19 82432 ----a-w- c:\windows\system32\icardie.dll
    2013-01-31 15:19 . 2013-01-31 15:19 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
    2013-01-31 15:19 . 2013-01-31 15:19 76800 ----a-w- c:\windows\system32\tdc.ocx
    2013-01-31 15:19 . 2013-01-31 15:19 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
    2013-01-31 15:19 . 2013-01-31 15:19 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
    2013-01-31 15:19 . 2013-01-31 15:19 65024 ----a-w- c:\windows\system32\pngfilt.dll
    2013-01-31 15:19 . 2013-01-31 15:19 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
    2013-01-31 15:19 . 2013-01-31 15:19 55296 ----a-w- c:\windows\system32\msfeedsbs.dll
    2013-01-31 15:19 . 2013-01-31 15:19 534528 ----a-w- c:\windows\system32\ieapfltr.dll
    2013-01-31 15:19 . 2013-01-31 15:19 49664 ----a-w- c:\windows\system32\imgutil.dll
    2013-01-31 15:19 . 2013-01-31 15:19 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
    2013-01-31 15:19 . 2013-01-31 15:19 48640 ----a-w- c:\windows\system32\mshtmler.dll
    2013-01-31 15:19 . 2013-01-31 15:19 452608 ----a-w- c:\windows\system32\dxtmsft.dll
    2013-01-31 15:19 . 2013-01-31 15:19 448512 ----a-w- c:\windows\system32\html.iec
    2013-01-31 15:19 . 2013-01-31 15:19 403248 ----a-w- c:\windows\system32\iedkcs32.dll
    2013-01-31 15:19 . 2013-01-31 15:19 39936 ----a-w- c:\windows\system32\iernonce.dll
    2013-01-31 15:19 . 2013-01-31 15:19 3695416 ----a-w- c:\windows\system32\ieapfltr.dat
    2013-01-31 15:19 . 2013-01-31 15:19 367104 ----a-w- c:\windows\SysWow64\html.iec
    2013-01-31 15:19 . 2013-01-31 15:19 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
    2013-01-31 15:19 . 2013-01-31 15:19 30720 ----a-w- c:\windows\system32\licmgr10.dll
    2013-01-31 15:19 . 2013-01-31 15:19 282112 ----a-w- c:\windows\system32\dxtrans.dll
    2013-01-31 15:19 . 2013-01-31 15:19 267776 ----a-w- c:\windows\system32\ieaksie.dll
    2013-01-31 15:19 . 2013-01-31 15:19 249344 ----a-w- c:\windows\system32\webcheck.dll
    2013-01-31 15:19 . 2013-01-31 15:19 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
    2013-01-31 15:19 . 2013-01-31 15:19 222208 ----a-w- c:\windows\system32\msls31.dll
    2013-01-31 15:19 . 2013-01-31 15:19 197120 ----a-w- c:\windows\system32\msrating.dll
    2013-01-31 15:19 . 2013-01-31 15:19 165888 ----a-w- c:\windows\system32\iexpress.exe
    2013-01-31 15:19 . 2013-01-31 15:19 163840 ----a-w- c:\windows\system32\ieakui.dll
    2013-01-31 15:19 . 2013-01-31 15:19 161792 ----a-w- c:\windows\SysWow64\msls31.dll
    2013-01-31 15:19 . 2013-01-31 15:19 160256 ----a-w- c:\windows\system32\wextract.exe
    2013-01-31 15:19 . 2013-01-31 15:19 160256 ----a-w- c:\windows\system32\ieakeng.dll
    2013-01-31 15:19 . 2013-01-31 15:19 152064 ----a-w- c:\windows\SysWow64\wextract.exe
    2013-01-31 15:19 . 2013-01-31 15:19 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
    2013-01-31 15:19 . 2013-01-31 15:19 149504 ----a-w- c:\windows\system32\occache.dll
    2013-01-31 15:19 . 2013-01-31 15:19 145920 ----a-w- c:\windows\system32\iepeers.dll
    2013-01-31 15:19 . 2013-01-31 15:19 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
    2013-01-31 15:19 . 2013-01-31 15:19 12288 ----a-w- c:\windows\system32\mshta.exe
    2013-01-31 15:19 . 2013-01-31 15:19 11776 ----a-w- c:\windows\SysWow64\mshta.exe
    2013-01-31 15:19 . 2013-01-31 15:19 114176 ----a-w- c:\windows\system32\admparse.dll
    2013-01-31 15:19 . 2013-01-31 15:19 111616 ----a-w- c:\windows\system32\iesysprep.dll
    2013-01-31 15:19 . 2013-01-31 15:19 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
    2013-01-31 15:19 . 2013-01-31 15:19 10752 ----a-w- c:\windows\system32\msfeedssync.exe
    2013-01-31 15:19 . 2013-01-31 15:19 103936 ----a-w- c:\windows\system32\inseng.dll
    2013-01-31 15:19 . 2013-01-31 15:19 101888 ----a-w- c:\windows\SysWow64\admparse.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2013-02-28 18642024]
    "GoogleChromeAutoLaunch_BCEA24321E5E4F1401136BBEDFB545FE"="c:\program files (x86)\Google\Chrome\Application\chrome.exe" [2013-04-09 1312720]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-03-06 4767304]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableLUA"= 0 (0x0)
    "EnableUIADesktopToggle"= 0 (0x0)
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
    "LoadAppInit_DLLs"=1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv
    .
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2013-02-28 161384]
    R3 aswVmm;aswVmm; [x]
    R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [2013-04-19 19456]
    R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2010-02-19 517096]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2013-04-19 57856]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2013-01-31 1255736]
    R3 WinRing0_1_2_0;WinRing0_1_2_0;c:\program files (x86)\Razer\Razer Game Booster\Driver\WinRing0x64.sys [2012-11-13 14544]
    S0 aswRvrt;aswRvrt; [x]
    S0 iaStorA;iaStorA;c:\windows\system32\DRIVERS\iaStorA.sys [2012-11-19 652344]
    S0 iaStorF;iaStorF;c:\windows\system32\DRIVERS\iaStorF.sys [2012-11-19 28216]
    S0 SmartDefragDriver;SmartDefragDriver;c:\windows\System32\Drivers\SmartDefragDriver.sys [2010-11-26 17720]
    S1 aswSnx;aswSnx; [x]
    S1 aswSP;aswSP; [x]
    S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2013-04-16 283200]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2013-03-06 80816]
    S2 IAStorDataMgrSvc;Technologie de stockage Intel(R) Rapid;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2012-11-19 14904]
    S2 IconMan_R;IconMan_R;c:\program files (x86)\Realtek\Realtek USB 2.0 Card Reader\RIconMan.exe [2012-09-07 2464400]
    S3 L1C;NDIS Miniport Driver for Qualcomm Atheros AR81xx PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C62x64.sys [2012-12-19 118504]
    S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2012-08-29 243712]
    S3 SmbDrvI;SmbDrvI;c:\windows\system32\DRIVERS\Smb_driver_Intel.sys [2012-08-28 43832]
    .
    .
    --- Autres Services/Pilotes en mémoire ---
    .
    *NewlyCreated* - WS2IFSL
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
    2013-04-10 16:20 1642448 ----a-w- c:\program files (x86)\Google\Chrome\Application\26.0.1410.64\Installer\chrmstp.exe
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2013-04-25 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2013-01-31 17:25]
    .
    2013-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2013-01-31 18:27]
    .
    2013-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2013-01-31 18:27]
    .
    .
    --------- X64 Entries -----------
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
    @="{472083B0-C522-11CF-8763-00608CC02F24}"
    [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
    2013-03-06 23:32 133840 ----a-w- c:\program files\AVAST Software\Avast\ashShA64.dll
    .
    ------- Examen supplémentaire -------
    .
    uLocal Page = c:\windows\system32\blank.htm
    uStart Page = hxxp://fr.search.yahoo.com?type=114576&fr=spigot-yhp-ie
    mLocal Page = c:\windows\SysWOW64\blank.htm
    TCP: DhcpNameServer = 192.168.1.1
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Wow6432Node-HKCU-Run-AdobeBridge - (no file)
    Wow6432Node-HKCU-Run-SmartRAM - c:\program files (x86)\IObit\Advanced SystemCare 6\Suo10_SmartRAM.exe
    Wow6432Node-HKLM-Run-updater - c:\users\User\AppData\Local\Temp\updater.exe
    Wow6432Node-HKU-Default-RunOnce-SPReview - c:\windows\System32\SPReview\SPReview.exe
    AddRemove-Smart Defrag 2_is1 - c:\program files (x86)\IObit\Smart Defrag 2\unins000.exe
    AddRemove-SweetIM Bundle by SweetPacks - c:\program files (x86)\sweetpacks bundle uninstaller\uninstaller.exe
    AddRemove-{1EAC1D02-C6AC-4FA6-9A44-96258C37C812EU}_is1 - c:\games\World_of_Tanks\unins000.exe
    .
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_169_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
    @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_7_700_169_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker5"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.11"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_7_700_169.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker5"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\AVAST Software\Avast\AvastSvc.exe
    c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
    .
    **************************************************************************
    .
    Heure de fin: 2013-04-25 14:29:38 - La machine a redémarré
    ComboFix-quarantined-files.txt 2013-04-25 12:29
    .
    Avant-CF: 169 624 973 312 octets libres
    Après-CF: 169 258 217 472 octets libres
    .
    - - End Of File - - A3A69DFBE04B7508EFF72121804D3B9F
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Il l'a shooté, reste à voir s'il est encore revenu, auquel cas faudra que j'analyse la merdouille pour comprendre (pas encore eu le temps).

    Redémarre à nouveau.

    Relance OTL, click analyse rapide, puis héberge le rapport.
    On va voir.
    0
  18. AgHiro Messages postés 143 Statut Membre 12
     
    Voili-voila : ^^
    https://forums-fec.be/upload/www/?a=d&i=4413443853
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Parfait il est parti :)

    Relance OTL
    Sous Personnalisation colle ça :

    :OTL
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.search.yahoo.com?type=114576&fr=spigot-yhp-ie 
    [2013/04/19 19:54:47 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart Defrag 2      
    [2013/04/16 14:05:33 | 000,000,000 | -HSD | C] -- C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} 
    [2013/04/16 11:20:49 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins      
    [2013/04/16 11:20:49 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions      
    
    :Commands
    [EMPTYTEMP]
    


    Click CORRECTION et poste le rapport

    ~~

    Prévention : lire Le danger des cracks (by Malekal_Morte-)

    ~~

    Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

    ~~

    Fais des scans réguliers avec Malwarebytes, il est efficace.

    ~~

    Sécurise ton PC !

    Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

    Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    Passe le mot à tes amis !

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
    0
  20. AgHiro Messages postés 143 Statut Membre 12
     
    D'accord d'accord, merci pour ta precieuse aide et j'ai vu que tu aime bien SLG, vivement le prochain épisode :D. Tiens le rapport :
    All processes killed
    ========== OTL ==========
    HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
    Folder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart Defrag 2\ not found.
    C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} folder moved successfully.
    C:\Windows\SysWow64\searchplugins folder moved successfully.
    C:\Windows\SysWow64\Extensions folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Public
    ->Temp folder emptied: 0 bytes

    User: User
    ->Temp folder emptied: 2741356 bytes
    ->Temporary Internet Files folder emptied: 8252135 bytes
    ->Java cache emptied: 0 bytes
    ->Google Chrome cache emptied: 50971165 bytes
    ->Flash cache emptied: 730 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 1041572 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 60,00 mb

    OTL by OldTimer - Version 3.2.69.0 log created on 04252013_173556

    Files\Folders moved on Reboot...
    C:\Users\User\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    0
  • 1
  • 2