Bonjour, En allumant mon PC ce matin, McAfee me met une alerte me signifiant qu'un cheval de troie, ZeroAccess.hi, a été mis en quarantaine et qu'il faut redémarrer le PC pour que le logiciel puisse agir. Je l'ai fait et ça m'a remis la même chose, le fichier est toujours présent en C:\Windows\assembly\GAC_32\Desktop.ini . J'ai fait un scan complet avec Malwarebytes, il a trouvé plusieurs Rootkit.0Access, j'ai fait "tout supprimer" et ils reviennent aussi. Je ne sais pas quoi faire. Merci d'avance pour votre aide. Configuration: Windows 7 / Chrome 26.0.1410.64

Bonjour, * Va sur ce lien https://www.luanagames.com/index.fr.html (par tigzy) * Clique sur l'icône RogueKiller qui correspond à ta version de Windows (64 bits ou non) pour télécharger RogueKiller * Quitte tous les programmes en cours * Lance RogueKiller.exe. * Attendre la fin du Prescan ... * Clique sur Scan. * A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse Smart

Il a planté la première fois mais la deuxième ça a marché. RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Noemie [Droits d'admin] Mode : Recherche -- Date : 09/05/2013 19:26:20 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 6 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableTaskMgr (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] @ : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\@ [-] --> TROUVÉ [ZeroAccess][FOLDER] U : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L --> TROUVÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ [Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10 EARS-22Y5B1 SCSI Disk Device +++++ --- User --- [MBR] 5b72797c8f9dfb06f4da6e0b19b28432 [BSP] 22820d540b036e7b80f0e56e2edb598d : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 32770048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 32974848 | Size: 468882 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 993245184 | Size: 468885 Mo User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive1: SAMSUNG HD103SI USB Device +++++ --- User --- [MBR] 0299ad4386a5405af35462403941b8e7 [BSP] 2a18ccc767a30c5aeb8e906418116ba2 : Empty MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1]_S_09052013_192620.txt >> RKreport[1]_S_09052013_192620.txt

* Quitte tous les programmes en cours * Lance RogueKiller.exe. * Attendre la fin du Prescan ... * Clique sur Scan. * A la fin du scan Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse Smart

Après redémarrage : RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Noemie [Droits d'admin] Mode : Suppression -- Date : 09/05/2013 19:36:23 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] @ : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\@ [-] --> SUPPRIMÉ AU REBOOT [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\U --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L\00000004.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 201d3dde : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L\201d3dde [-] --> SUPPRIMÉ [Del.Parent][FILE] 76603ac3 : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L\76603ac3 [-] --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{20ccf273-c17c-6cb4-4a40-32841b4a5517}\L --> SUPPRIMÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> SUPPRIMÉ AU REBOOT ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10 EARS-22Y5B1 SCSI Disk Device +++++ --- User --- [MBR] 5b72797c8f9dfb06f4da6e0b19b28432 [BSP] 22820d540b036e7b80f0e56e2edb598d : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 16000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 32770048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 32974848 | Size: 468882 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 993245184 | Size: 468885 Mo User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive1: SAMSUNG HD103SI USB Device +++++ --- User --- [MBR] 0299ad4386a5405af35462403941b8e7 [BSP] 2a18ccc767a30c5aeb8e906418116ba2 : Empty MBR Code Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_09052013_193623.txt >> RKreport[1]_S_09052013_192620.txt ; RKreport[2]_D_09052013_193623.txt

Est-ce que le PC a redémarré sinon fais le. Tu vas faire ceci: * Télécharge et installe Malwarebytes * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher" * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser * A la fin de l'analyse, clique sur "Afficher les résultats" * Coche tous les éléments détectés puis clique sur "Supprimer la sélection" * Enregistre le rapport * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes * Un rapport apparait après la suppression : poste le dans ta prochaine réponse. Ensuite ceci: Va sur ce site https://www.virustotal.com/gui/ - Clique sur "Choose File" - Dans nom du fichier colle ce fichier : C:\Windows\system32\services.exe - Clique sur "Ouvrir" puis sur "Scan It" - Le Fichier est mis en file d'attente. - Clique sur Reanalyse si c'est proposé - Attends la fin du scan ey poste le lien vers le rapport Le lien se trouve en haut dans la barre d'adresse du navigateur Internet Cela fait deux rapports à poster Smart

Le problème est résolu. J'ai refait un scan complet avec Malwarebytes (3h57, en effet ça dure un peu) et il n'y a plus rien. McAfee ne trouve plus rien non plus. C'est parfait :-) Vraiment merci pour l'aide et la rapidité de réponse.

C'est comme tu veux, mais la désinfection n'est terminé. Il y a surement des résidus et/ou d'autres infections. J'aimerais bien que tu fasses ce que je t'ai demandé pour le fichier services.exe. Après c'est toi qui vois Smart

Je veux bien continuer mais le fichier services.exe n'existe pas chez moi, ou du moins dans ce répertoire, mais j'ai services.msc, c'est pareil ?

Ce n'est pas normal que tu n'aies pas services.exe (services est au pluriel) Est-ce que tu as fait un copié/collé dans la fenêtre cette ligne après avoir cliqué sur "Choisir un fichier" C:\Windows\system32\services.exe Est-ce que tu as un message d'erreur Smart

J'ai un message me demandant de vérifier l'orthographe et de réessayer. J'ai cherché à le sélectionner directement depuis C:\Windows\system32\ et il n'y a pas de services.exe , seulement un services.msc

Trojan ZeroAccess.hi impossible à supprimer

Réponse 21 / 34

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
11 mai 2013 à 17:25

On va supprimer par un script tous les restes et les élément inutiles.

A l'attention de ceux qui parcourent le sujet:
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie les lignes en gras suivantes :

----------------------------------------------------------
O42 - Logiciel: BrowseToSave - (...) [HKLM][64Bits] -- {93440185-3DA0-4D88-AF63-758248A72373}
O43 - CFD: 17/03/2013 - 01:24:12 - [1,473] ----D C:\Program Files (x86)\BrowseToSave
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]
[HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]
O4 - HKCU\..\Run: [AdobeBridge] Orphean Key
[MD5.00000000000000000000000000000000] [APT] [{2EB9FAA9-8ACA-484D-B6A9-7450A8FB1CE4}] (...) -- D:\T'lechargements\Last.fm-1.5.4.27091.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{F36B48DA-F11E-468C-AC77-348214828A53}] (...) -- D:\T'lechargements\format-factory-270.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{F380B06E-C465-4804-BC0E-E8C0F4846F3A}] (...) -- D:\T'lechargements\QuickTimeInstaller.exe (.not file.) [0]
O61 - LFC: 09/05/2013 - 20:09:43 ----- C:\Users\Noemie\AppData\Local\Temp\qtsingleapp-lastfm-4952-1-lockfile [0]
O61 - LFC: 10/05/2013 - 17:09:07 ---A- C:\Users\Noemie\AppData\Local\Temp\a8256d3c-6ea7-4188-903c-e2dd409523bb.dmp [545967]
O61 - LFC: 11/05/2013 - 10:06:02 ---A- C:\Users\Noemie\AppData\Local\Temp\CRX_75DAF8CB7768\crl-set [755]
O61 - LFC: 11/05/2013 - 10:06:02 ---A- C:\Users\Noemie\AppData\Local\Temp\CRX_75DAF8CB7768\manifest.json [34]
O61 - LFC: 11/05/2013 - 15:16:27 ---A- C:\Users\Noemie\AppData\Local\Temp\au-descriptor-1.7.0_21-b11.xml [8818]
[MD5.59A46F65BBDAF49DEF0257F7D0017571] [SPRF][11/05/2013] (...) -- C:\Users\Noemie\Desktop\fairyta.bat [188]
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ

----------------------------------------------------------
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Et redémarre le PC

Smart

Réponse 22 / 34

fairyta7e Messages postés 16 Date d'inscription jeudi 9 mai 2013 Statut Membre Dernière intervention 13 mai 2013
11 mai 2013 à 17:33

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-11-05-2013-17-33-02.txt
Run by Noemie at 11/05/2013 17:33:02
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Recycle Files Deleted

========== Software ==========
NOT FOUND Software Key: {93440185-3DA0-4D88-AF63-758248A72373}

========== Registry Key ==========
DELETED Key*: HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
NOT FOUND Key: HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
DELETED Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db

========== Registry Value ==========
NOT FOUND IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
DELETED RunValue: AdobeBridge
No Value in Standard Profile Register Key FirewallRaz :
No Value in Domain Profile Register Key FirewallRaz :
No Value in Firewall Exception Register Key (FirewallRaz)

========== Repertory ==========
DELETED Folder: C:\Users\Noemie\AppData\Local\{1D5F9A05-B87B-4BC6-9129-4C998AE6A665}

========== File ==========
DELETE on Reboot c:\users\noemie\appdata\local\temp\qtsingleapp-lastfm-4952-1-lockfile
DELETED File: c:\users\noemie\appdata\local\temp\a8256d3c-6ea7-4188-903c-e2dd409523bb.dmp
DELETED File: c:\users\noemie\appdata\local\temp\crx_75daf8cb7768\crl-set
DELETED File: c:\users\noemie\appdata\local\temp\crx_75daf8cb7768\manifest.json
DELETED File: c:\users\noemie\appdata\local\temp\au-descriptor-1.7.0_21-b11.xml
DELETED File: C:\Users\Noemie\Desktop\fairyta.bat
DELETED File*: c:\users\noemie\desktop\fairyta.bat
DELETED Window Temporary
DELETED Flash Cookies

========== Task ==========
DELETED Task: {2EB9FAA9-8ACA-484D-B6A9-7450A8FB1CE4}
DELETED Task: {F36B48DA-F11E-468C-AC77-348214828A53}
DELETED Task: {F380B06E-C465-4804-BC0E-E8C0F4846F3A}

========== Summary ==========
3 : Registry Key
5 : Registry Value
1 : Repertory
9 : File
1 : Software
3 : Task

End of clean in 00mn 06s

========== Report File ==========
C:\ZHP\ZHPFix[R1].txt - 11/05/2013 17:33:02 [2083]

Réponse 23 / 34

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
11 mai 2013 à 18:43

As-tu bien redémarré le PC, sinon fais le.

Ensuite refais un dernier scan ZHPDiag et poste le rapport via pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

Réponse 24 / 34

fairyta7e Messages postés 16 Date d'inscription jeudi 9 mai 2013 Statut Membre Dernière intervention 13 mai 2013
11 mai 2013 à 19:21

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130511_r6v13t9j11q12

Réponse 25 / 34

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
12 mai 2013 à 04:02

Il y a encore des restes qui sont toujours là:

On va ler supprimer autrement:

- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :

--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{93440185-3DA0-4D88-AF63-758248A72373}]
[-HKEY_CLASSES_ROOT\CLSID\{93440185-3DA0-4D88-AF63-758248A72373}]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\SProtector]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\SProtector]

:Files
C:\Program Files (x86)\BrowseToSave

:commands
[emptytemp]

--------------------------------------------------------------

- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.

- Clique maintenant sur le bouton MoveIt!

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Smart

Réponse 26 / 34

fairyta7e Messages postés 16 Date d'inscription jeudi 9 mai 2013 Statut Membre Dernière intervention 13 mai 2013
12 mai 2013 à 10:08

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{93440185-3DA0-4D88-AF63-758248A72373}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93440185-3DA0-4D88-AF63-758248A72373}\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{93440185-3DA0-4D88-AF63-758248A72373}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{93440185-3DA0-4D88-AF63-758248A72373}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\SProtector\ deleted successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\\svchost.exe deleted successfully.
Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\\svchost.exe not found.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\SProtector\ not found.
========== FILES ==========
C:\Program Files (x86)\BrowseToSave folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Noemie
->Temp folder emptied: 139961072 bytes
->Temporary Internet Files folder emptied: 2465562 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 365641290 bytes
->Flash cache emptied: 931 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 41620 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23884 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 39239076 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 753 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 53604 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 522,00 mb

OTM by OldTimer - Version 3.1.21.0 log created on 05122013_100312

Files moved on Reboot...
C:\Users\Noemie\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Réponse 27 / 34

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
13 mai 2013 à 09:43

Refais un scan ZHPDiag et poste le rapport via pjjoint

Smart

Réponse 28 / 34

fairyta7e Messages postés 16 Date d'inscription jeudi 9 mai 2013 Statut Membre Dernière intervention 13 mai 2013
13 mai 2013 à 15:21

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130513_t12t10d12z8q15

Réponse 29 / 34

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
13 mai 2013 à 16:47

Tout d'abord désinstalle Microsoft security Essential et Microsoft Sécurity Client, cela fait double emploi avec McAffee et cela peut entraîner des conflits.

Désinstalle également Java Update 17 par ajout/suppression de programmes. Tu as déjà la dernière mise à jour qui est Java Update 21.

Enfin, vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie les lignes en gras suivantes :

----------------------------------------------------------
O42 - Logiciel: BrowseToSave - (...) [HKLM][64Bits] -- {93440185-3DA0-4D88-AF63-758248A72373}
[MD5.00000000000000000000000000000000] [APT] [{F097FAEE-69E9-4D4F-9304-7F6228C9FF45}] (...) -- E:\Setup.exe (.not file.) [0]
O61 - LFC: 12/05/2013 - 09:11:47 ---A- C:\Users\Noemie\AppData\Local\Temp\au-descriptor-1.7.0_21-b11.xml [8818]
O61 - LFC: 12/05/2013 - 09:39:48 ---A- C:\Users\Noemie\AppData\Local\Temp\CRX_75DAF8CB7768\crl-set [293]
O61 - LFC: 12/05/2013 - 09:39:48 ---A- C:\Users\Noemie\AppData\Local\Temp\CRX_75DAF8CB7768\manifest.json [34]
O61 - LFC: 12/05/2013 - 10:45:36 ---A- C:\Users\Noemie\AppData\Local\Temp\qtsingleapp-lastfm-4952-1-lockfile [0]
[HKLM\Software\Wow6432Node\AVAST Software]
O43 - CFD: 12/06/2011 - 19:07:22 - [0] ----D C:\ProgramData\AVAST Software
OPT:O4 - HKLM\..\Wow6432Node\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 30/08/2011 462184 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe

----------------------------------------------------------
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance CCleaner. va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

Désinstallation des outils - Réactivation de l'UAC - Purge Restauration et Création d'un point de restauration

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Coche toutes les cases sauf "Faire une sauvegarde du registre"
- Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
- Le rapport sera enregistré dans le presse-papier. Copie/Colle le dans ta prochaine réponse.

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

Installe l'extension de sécurité adblock plus pour bloquer les publicités
==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
Pour Chrome: https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent des adwares HOSTS Anti-PUPs/Adware
Voici un tutoriel pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites plus tard désinstaller HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu peux aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commande.

- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up publicitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

- Super Important, comme tu es sous Windows 8 :
Quelques précautions à prendre surtout si tu n'as pas de CD Windows

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

Réponse 30 / 34

fairyta7e Messages postés 16 Date d'inscription jeudi 9 mai 2013 Statut Membre Dernière intervention 13 mai 2013
13 mai 2013 à 18:44

Je suis sous Windows 7 donc pas de soucis par rapport à Windows 8.
Par contre j'aurais quelques questions.
J'ai voulu mettre à jour Nero, mais il veut installer d'office Ask toobar. Je lance quand même la mise à jour ?

Je voulais tout mettre en même temps et en lançant Delfix ça a supprimé celui de ZHPFix.

# DelFix v10.2 - Rapport créé le 13/05/2013 à 18:25:35
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : Noemie - NOEMIE-PC

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\_OTM
Supprimé : C:\ZHP
Supprimé : C:\Users\Noemie\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Program Files (x86)\SEAF
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\SeafLog.txt
Supprimé : C:\Users\Noemie\Desktop\OTM.exe
Supprimé : C:\Users\Noemie\Desktop\seaf.exe
Supprimé : C:\Users\Noemie\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Noemie\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\log.txt
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #120 [Point de contrôle planifié | 05/05/2013 16:18:09]
Supprimé : RP #121 [Removed HP Update | 05/09/2013 15:30:36]
Supprimé : RP #122 [Installed Java 7 Update 21 (64-bit) | 05/09/2013 16:56:59]
Supprimé : RP #123 [Windows Update | 05/10/2013 20:55:54]
Supprimé : RP #124 [Installed Adobe Reader XI. | 05/11/2013 16:58:13]
Supprimé : RP #125 [Installé Microsoft Visual C++ 2005 Redistributable | 05/12/2013 07:58:22]
Supprimé : RP #126 [Removed Java 7 Update 17 | 05/13/2013 16:05:51]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

En tout cas, vraiment merci pour ton aide =)

Réponse 31 / 34

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
13 mai 2013 à 18:57

"J'ai voulu mettre à jour Nero, mais il veut installer d'office Ask toobar. Je lance quand même la mise à jour ? "
Il n'y a pas une case à décocher pour ne pas installer Ask.

Smart

Réponse 32 / 34

Laura
31 mai 2013 à 08:23

Bonjour, je viens d'hériter d'un ZeroAccess.hi (oh bonheur...) et j'essaye en vain de m'en débarrasser j'ai lu tes réponses pour d'autres cas Smart91 et voici les procédures que j'ai déjà faite...

1) Prescan et Scan avec Rogue Killer. Voici le rapport :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Laura [Droits d'admin]
Mode : Recherche -- Date : 05/30/2013 14:56:11
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 12 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{23FACE56-7907-45D9-9933-FF15A43EDEA2} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{2D7D65D1-8481-4D7B-B07C-143C391A0478} : NameServer (10.4.182.22 10.4.81.105) -> TROUVÉ
[DNS] HKLM\[...]\ControlSet002\Services\Tcpip\Interfaces\{571B0DA3-9C31-441E-8BBE-433C4EA6F7B6} : NameServer (10.4.182.20 10.4.81.103) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableTaskMgr (0) -> TROUVÉ
[HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\L --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini [-] --> TROUVÉ
[ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini [-] --> TROUVÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [-] --> TROUVÉ

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 11873b81392702dc5cf10e0478b9cc7a
[BSP] 98af57227a42c6bd0971f618540236ea : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690657 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1414875136 | Size: 24444 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_05302013_02d1456.txt >>
RKreport[1]_S_05302013_02d1456.txt

2) Téléchargement et installation de Malwarebytes, mise à jour ok. J'ai lancé un examen complet, coché les éléments détectés et supprimer la sélection. J'ai également redémarrer mon portable.
Voici le rapport :

2013/05/31 07:40:17 +0200 LAURA-HP Laura MESSAGE Starting protection
2013/05/31 07:40:17 +0200 LAURA-HP Laura MESSAGE Protection started successfully
2013/05/31 07:40:17 +0200 LAURA-HP Laura MESSAGE Starting IP protection
2013/05/31 07:40:17 +0200 LAURA-HP Laura ERROR IP protection failed: FwpmEngineOpen0 failed with error code 1753
2013/05/31 07:44:33 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 07:48:36 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 07:52:51 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 07:57:21 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 08:01:38 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 08:05:55 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 08:09:58 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE
2013/05/31 08:14:26 +0200 LAURA-HP Laura DETECTION C:\Windows\Installer\{7c9fd581-23f4-202a-2852-ddebc6d36629}\U\000000cb.@ Rootkit.0Access QUARANTINE

3) J'ai été sur virus total pour rechercher C:\Windows\system32\services.exe
Mais tout comme Fairyta7e je ne l'ai pas. J'ai téléchargé SEAF et suivi ce qui lui avait été conseillé : règle "Calculer le checksum" sur "MD5" puis cocher "Informations supplémentaires" et "Chercher également dans le Registre". Voici le rapport :

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 08:13:52 le 31/05/2013
4.
5. Valeur(s) recherchée(s):
6. services.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13.
14. ====== Fichier(s) ======
15.
16.
17. "C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe" [ ARCHIVE | 346 Ko ]
18. TC: 11/10/2010,03:48:14 | TM: 11/10/2010,03:48:14 | DA: 10/02/2012,16:58:48
19.
20. Hash MD5: 6A181452D4E240B8ECC7614B9A19BDE9
21.
22. CompanyName: Hewlett-Packard Company
23. ProductName: HP Client Services
24. InternalName: HP Client Services
25. OriginalFileName: HPClientServices.exe
26. LegalCopyright: ? 2009-2010 Hewlett-Packard Development Company, L.P.
27. ProductVersion: 1, 1, 0, 3539
28. FileVersion: 1, 1, 0, 3539
29.
30. =========================
31.
32.
33. "C:\Windows\winsxs\amd64_microsoft-windows-s..ontroller.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_68750ba1329f3c6f\services.exe.mui" [ ARCHIVE | 20 Ko ]
34. TC: 11/02/2012,00:32:07 | TM: 11/02/2012,00:32:07 | DA: 11/02/2012,00:32:07
35.
36. Hash MD5: 18A525B3727F2AE7E8D440F42FC82C2E
37.
38. CompanyName: Microsoft Corporation
39. ProductName: Système d'exploitation Microsoft® Windows®
40. InternalName: services.exe
41. OriginalFileName: services.exe.mui
42. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
43. ProductVersion: 6.1.7600.16385
44. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
45.
46. =========================
47.
48.
49. "C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe" [ ARCHIVE | 329 Ko ]
50. TC: 14/07/2009,01:19:46 | TM: 14/07/2009,03:39:37 | DA: 14/07/2009,01:19:46
51.
52. Hash MD5: 24ACB7E5BE595468E3B9AA488B9B4FCB
53.
54. CompanyName: Microsoft Corporation
55. ProductName: Système d'exploitation Microsoft® Windows®
56. InternalName: services.exe
57. OriginalFileName: services.exe.mui
58. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
59. ProductVersion: 6.1.7600.16385
60. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
61.
62. =========================
63.
64.
65. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-s..ontroller.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_68750ba1329f3c6f_services.exe.mui_86ea5e71" [ ARCHIVE | 20 Ko ]
66. TC: 11/02/2012,00:33:27 | TM: 11/02/2012,00:33:15 | DA: 11/02/2012,00:33:15
67.
68. Hash MD5: 18A525B3727F2AE7E8D440F42FC82C2E
69.
70. CompanyName: Microsoft Corporation
71. ProductName: Système d'exploitation Microsoft® Windows®
72. InternalName: services.exe
73. OriginalFileName: services.exe.mui
74. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
75. ProductVersion: 6.1.7600.16385
76. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
77.
78. =========================
79.
80.
81. "C:\Windows\winsxs\Backup\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1_services.exe_abfc33da" [ ARCHIVE | 329 Ko ]
82. TC: 14/07/2009,04:59:34 | TM: 14/07/2009,04:58:23 | DA: 14/07/2009,04:58:23
83.
84. Hash MD5: 24ACB7E5BE595468E3B9AA488B9B4FCB
85.
86. CompanyName: Microsoft Corporation
87. ProductName: Système d'exploitation Microsoft® Windows®
88. InternalName: services.exe
89. OriginalFileName: services.exe.mui
90. LegalCopyright: © Microsoft Corporation. Tous droits réservés.
91. ProductVersion: 6.1.7600.16385
92. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)
93.
94. =========================
95.
96.
97.
98. ====== Entrée(s) du registre ======
99.
100.
101. [HKLM\Software\Microsoft\FTH]
102. "ExclusionList"="smss.exe
103. csrss.exe
104. wininit.exe
105. services.exe
106. lsass.exe
107. lsm.exe
108. svchost.exe
109. winlogon.exe
110. SLsvc.exe
111. spoolsv.exe
112. taskhost.exe" (REG_MULTI_SZ)
113.
114. [HKLM\System\ControlSet001\services\eventlog\System\Service Control Manager]
115. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ)
116.
117. [HKLM\System\ControlSet001\services\HPClientSvc]
118. "ImagePath"=""C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe"" (REG_EXPAND_SZ)
119.
120. [HKLM\System\ControlSet002\services\eventlog\System\Service Control Manager]
121. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ)
122.
123. [HKLM\System\ControlSet002\services\HPClientSvc]
124. "ImagePath"=""C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe"" (REG_EXPAND_SZ)
125.
126. [HKLM\System\CurrentControlSet\services\eventlog\System\Service Control Manager]
127. "EventMessageFile"="%SystemRoot%\system32\services.exe" (REG_EXPAND_SZ)
128.
129. [HKLM\System\CurrentControlSet\services\HPClientSvc]
130. "ImagePath"=""C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe"" (REG_EXPAND_SZ)
131.
132. =========================
133.
134. Fin à: 08:16:13 le 31/05/2013
135. 423543 Éléments analysés
136.
137. =========================
138. E.O.F

Maintenant... je n'y connais pas grand chose... comment savoir si services.exe est présent ou pas ? Et que dois-je faire maintenant ?
Merci mille fois pour votre aide.

Utilisateur anonyme
31 mai 2013 à 08:56

bonjour Laura,

ce message étant résolu, Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace
Aide toi de cette vidéo pour poster ton message :
http://sd-1.archive-host.com/membres/up/68979205412808752/CCM/demo_creer_son_message.htm
Patiente et un helper finira par te prendre en charge ;)
Merci de ta compréhension.

Laura
31 mai 2013 à 11:19

Merci beaucoup ;)

Réponse 33 / 34

wapin77 Messages postés 1 Date d'inscription mardi 25 novembre 2014 Statut Membre Dernière intervention 25 novembre 2014
Modifié par wapin77 le 25/11/2014 à 15:50

Salut salut !

J'ai également le même problème, est ce ce que si je suis toute cette meme procédure, cela fonctionnera aussi pour moi ?

Réponse 34 / 34

adam
28 nov. 2014 à 02:37

teleche hitmanpro
http://www.surfright.nl/en/hitmanpro/

Trojan ZeroAccess.hi impossible à supprimer

34 réponses

Discussions similaires