SirefefFermé

Question

Bonjour, Je viens demander de l'aide suite à une probable infection de Sirefef detecté par Chrome et Avast. En naviguant sur les forum, j'ai essayé d'utiliser le logiciel RogueKiller. Il a trouvé des données que j'au supprimé, voici ce qui semble être le rapport : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Thibaut Cambon [Droits d'admin] Mode : Suppression -- Date : 13/05/2013 20:19:33 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] MusicManager.exe -- C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe [-] -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 6 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ [RUN][SUSP PATH] HKUS\S-1-5-21-1526602329-3622394769-2401582177-1000[...]\Run : MusicManager ("C:\Users\Thibaut Cambon\AppData\Local\Programs\Google\MusicManager\MusicManager.exe") [-] -> NON SELECTIONNÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][JUNCTION] C:\Windows\$NtUninstallKB51983$ >> \systemroot\system32\config --> SUPPRIMÉ [Del.Parent][FILE] 1739758770 : C:\Windows\$NtUninstallKB51983$\1739758770 [-] --> SUPPRIMÉ [Del.Parent][FILE] @ : C:\Windows\$NtUninstallKB51983$\71159602\@ [-] --> SUPPRIMÉ [Del.Parent][FILE] Desktop.ini : C:\Windows\$NtUninstallKB51983$\71159602\Desktop.ini [-] --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\L\00000004.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 201d3dde : C:\Windows\$NtUninstallKB51983$\71159602\L\201d3dde [-] --> SUPPRIMÉ [Del.Parent][FILE] 76603ac3 : C:\Windows\$NtUninstallKB51983$\71159602\L\76603ac3 [-] --> SUPPRIMÉ [Del.Parent][FILE] xadqgnnk : C:\Windows\$NtUninstallKB51983$\71159602\L\xadqgnnk [-] --> SUPPRIMÉ [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\L --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000004.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 00000008.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\00000008.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 000000cb.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\000000cb.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 80000000.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000000.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 80000032.@ : C:\Windows\$NtUninstallKB51983$\71159602\U\80000032.@ [-] --> SUPPRIMÉ [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602\U --> SUPPRIMÉ [Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$\71159602 --> SUPPRIMÉ AU REBOOT [ZeroAccess][FOLDER] ROOT : C:\Windows\$NtUninstallKB51983$ --> SUPPRIMÉ AU REBOOT [Faked.Drv][FILE] csc.sys : C:\Windows\system32\drivers\csc.sys [-] --> IMPOSSIBLE DE REPARER ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: FUJITSU MHX2300BT ATA Device +++++ --- User --- [MBR] c82d8438ba2479c2c513966a99dfc176 [BSP] 3f5889865b7e80f15b9509b049480514 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 11125 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 22786048 | Size: 275042 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: PIXIKA USB Flash Drive USB Device +++++ --- User --- [MBR] 334f879b7b3c18a4590f5dab9fe2b3ea [BSP] 25f3024595f3b7dfbbc81cdc98cec57c : Empty MBR Code Partition table: 0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1007 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_13052013_201933.txt >> RKreport[1]_S_13052013_201657.txt ; RKreport[2]_D_13052013_201933.txt Maintenant, Chrome et Avast ne detectent plus rien. Par contre, je ne peux plus télécharger de fichier (problème analyse antivirus) et je ne peux plus activer le pare feu windows (erreur : 0x80070424). Que faire ? Merci de votre aide Configuration: Windows 7 / Chrome 26.0.1410.64

g3n-h@ckm@n · Answer

salut 

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !! 
Attention !!! : cet outil peut etre détecté à tort comme virus 
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous 

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique. 

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp 

telecharge et enregistre Pre_Scan sur ton bureau  : 

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon) 

ou , si le lien n'est pas fonctionnel : 

http://www.archive-host.com (renommé winlogon) 
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon) 

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill" 

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions : 

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr 
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif 
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" 

Il se peut que des fenêtres noires clignotent , laisse-le travailler. 

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur. 

Laisse l'outil redemarrer ton pc. 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ ) 

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long) 

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider 
  
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤ 
Windows 8 => meme flop que Vista X 10

leozz · Answer

Voila le lien : http://cjoint.com/13mi/CEnxHmAsvdY.htm

Merci !

g3n-h@ckm@n · Answer

la machine a redemarré ?

leozz · Answer

Non, j'ai eu une erreur à la fin "error allocating memory je crois" ...

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\system32\drivers\csc.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

leozz · Answer

Voila : https://www.virustotal.com/fr/file/3f63bc3a1caccda7d2ff828c839f248f3ba50ca8d25731f60577377c7739d6b9/analysis/1368481575/

Au meme moment, Avast s'est déclenché sur un "un objet caché suspect (rootkit) a été trouvé etc."

Il me demande ce que je dois faire avec le "csc.sys", le "csc.sys.dump" et le "SVC: CSC > C:\Windows\system32\drivers\csc.sys"

g3n-h@ckm@n · Answer

ok on casse la baraque

==


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

leozz · Answer

Le soucis c'est que je n'arrive pas à télécharger le fichier sur mon pc, et lorsque je le télécharge sur ma tablette, puis clé USB que je branche au PC, il me ressort un exe de 0 Ko...

g3n-h@ckm@n · Answer

en mode sans echec ?

leozz · Answer

Le mode sans echec plante, je n'y ai pas accès ...

g3n-h@ckm@n · Answer

selectionne ce texte , puis ctrl  + C :

search::
csc.sys

 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

leozz · Answer

Ok, c'est en cours ...

g3n-h@ckm@n · Answer

ben là c'est pas un scan à proprement parler , on cherche une copie saine pour la remplacer

leozz · Answer

Ha, okay. va falloir que je quitte tout ça vers 1h :-/

g3n-h@ckm@n · Answer

ok arrete le script via le gestionnaire des taches je t'ai trouvé une copie saine

https://www.cjoint.com/c/CEoaUv69Szm

dezippe et mets le fichier csc.sys à la racine de ton disque c:\

dis moi quand c est fait

leozz · Answer

Ok, fait.

Je l'ai juste mis sous C:

Avats s'est encore reveillé ... je lui dit de faire quoi ? (pourtant je l'ai désactivé)

leozz · Answer

https://www.virustotal.com/fr/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855/analysis/1368486180/

leozz · Answer

il semblerait que je ne puisse toujours pas telecharger ...

g3n-h@ckm@n · Answer

fais la suite de ce que j ai rajouté au  dessus 

edit::

c'est le fichier dans le dossier drivers que tu as passé sur virus total là ?  
    
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤   
Windows 8 => meme flop que Vista X 10

leozz · Answer

Ou ca ??

leozz · Answer

Oui, c'est celui là

g3n-h@ckm@n · Answer

c'est quel fichier que tu as analysé sur virus total là ?  

tu as fait cette suite ? : https://forums.commentcamarche.net/forum/affich-27803043-sirefef#27
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤ 
Windows 8 => meme flop que Vista X 10

leozz · Answer

csc.sys qui se trouve dans drivers

g3n-h@ckm@n · Answer

ok donc c'est bon il est depatché  

la machine a donc bien rebooté suite au dernier script...

relance pre_scan , clique sur diag et heberge le rapport pre_diag 

la suite demain  
  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤ 
Windows 8 => meme flop que Vista X 10

leozz · Answer

Ok, je fais ça demain.

Merci beaucoup en attendant !

g3n-h@ckm@n · Answer

:)

leozz · Answer

Hello, 

J'ai fait un nouveau scan, avec toujours un erreur vers la fin "Error allocating memory"

http://cjoint.com/13mi/CEouKPNoOkQ.htm

g3n-h@ckm@n · Answer

tu sais que c'est pas bien de cr@cker office....

leozz · Answer

S'il y avait qu'office encore ...

g3n-h@ckm@n · Answer

qu'est-ce-tu veux que je te dise ? lol ?

lol !

mdr !

leozz · Answer

Sinon docteur, il y a des choses à faire ?

Destrio5 · Answer

Télécharge ComboFix à partir d'un autre PC et transfère-le avec une clé USB.

leozz · Answer

Lorsque je connecte ma clé USD, et que je la lis avec le PC, le fichier fait 0 Ko. Je ne peux pas l'ouvrir....

leozz · Answer

J'ai essayé avec une autre clé, pareil ...

g3n-h@ckm@n · Answer

t'as un message d'erreur à l'execution ?

leozz · Answer

Oui :

F:\ComboFix.exe n'est pas une application Win32 valide

leozz · Answer

J'ai pu faire la manip avec PreScan uniquement avec le format .scr

leozz · Answer

Est ce que je suis condamné à formater mon PC ?

g3n-h@ckm@n · Answer

ok mets combofix au format .scr voir ? ( faut afficher l extension des fichiers tu sais faire ? )

leozz · Answer

Non, je ne sais pas faire...

Destrio5 · Answer

https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/#sous-vista-7

leozz · Answer

Le soucis c'est que je télécharge via une tablette, pas un PC.

Destrio5 · Answer

Tu changes l'extension sur le PC pas sur la tablette.

leozz · Answer

Oui, mais une fois Combofix sur ma clé USB, et que je branche la clé au PC, le fichier Combofix fait 0 Ko... meme en changeant l'extension, ça ne marche pas.

Destrio5 · Answer

Tu ne peux pas télécharger ComboFix chez un pote, un voisin ?

leozz · Answer

Là, non :-/

leozz · Answer

Le virus se propage par la clé USB ?

Destrio5 · Answer

http://dl.free.fr/getfile.pl?file=/3SqJE8c1

Mot de passe pour l'extraction : leozz

leozz · Answer

Merci, maos j'ai pas flash sur tablette pour recopier le code de Free.

Peux tu me l'envoyer par mail : leozz.th gmail.com

Destrio5 · Answer

Tu es sûr du mail ? (en ajoutant le @ au milieu)

leozz · Answer

Heu, ouais : 

leozz.th gmail.com

Destrio5 · Answer

Je t'ai envoyé ComboFix sans l'extension .exe.

g3n-h@ckm@n · Answer

t'aurais du lui envoyer en .scr ^^

leozz · Answer

Hé oui, il me le faudrait en .scr pour que je le récupère sur ma tablette puis transfert via clé USB sur PC

Destrio5 · Answer

Que ce soit avec .exe ou .scr à la fin, Outlook n'en veut pas ^^

Tu ne peux pas le télécharger avec ta tablette sans extension, le transférer sur ton PC, lui remettre son extension et le lancer ?

g3n-h@ckm@n · Answer

essaie ce lien ?

http://www.archive-host.com

leozz · Answer

Je désespère ...

J'arrive à télécharger sur ma tablette mais ça me fait le même probleme -> fichier à 0Ko...

En fait, je viens de me rendre compte que lorsque je mets le fichier sur clé usb, je débranche la clé de la tablette, puis la rebranche, le fichier se retrouve à 0Ko.

g3n-h@ckm@n · Answer

si ca se trouve la tablette est infectée aussi....elle fonctionne sous windows ?

Destrio5 · Answer

Tu ne débranches pas ta clé USB trop tôt ?

Ou peut-être qu'il y a un endroit sur la tablette pour déconnecter "logiciellement" la clé avant de la débrancher ?

leozz · Answer

Elle est sous Android

leozz · Answer

C'est bon ! Via Bluetooth ça a marché !!!

g3n-h@ckm@n · Answer

terrible !!

Destrio5 · Answer

Oh yes yes yes yessssss.

Ok je sors ---> []

leozz · Answer

Voici le rapport : 

ComboFix 13-05-15.01 - Thibaut Cambon 15/05/2013  22:02:23.1.2 - x86
Microsoft Windows 7 Édition Intégrale   6.1.7601.1.1252.33.1036.18.3070.2275 [GMT 2:00]
Lancé depuis: c:\users\Thibaut Cambon\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Spybot - Search and Destroy *Disabled/Updated* {9BC38DF1-3CCA-732D-A930-C1CA5F20A4B0}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\boot.inf
c:\users\Mcx1-THIBAUTCAMBON\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk
c:\users\Mcx1-THIBAUTCAMBON\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbkasphone.pbk
c:\users\Thibaut Cambon\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbk
c:\users\Thibaut Cambon\AppData\Roaming\Microsoft\Network\Connections\Pbk\_hiddenPbkasphone.pbk
c:\windows\wininit.ini
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2013-04-15 au 2013-05-15  ))))))))))))))))))))))))))))))))))))
.
.
2013-05-15 20:13 . 2013-05-15 20:13	--------	d-----w-	c:\users\Mcx1-THIBAUTCAMBON\AppData\Local	emp
2013-05-15 20:13 . 2013-05-15 20:13	--------	d-----w-	c:\users\Default\AppData\Local	emp
2013-05-13 22:52 . 2013-05-13 22:51	0	----a-w-	c:\windows\system32\drivers\csc.sys
2013-05-13 22:11 . 2013-05-13 22:11	--------	d--h--w-	c:\windows\PIF
2013-05-13 20:23 . 2013-05-14 18:05	--------	d-----w-	C:\Pre_Scan
2013-05-13 19:45 . 2013-05-13 19:45	388096	----a-r-	c:\users\Thibaut Cambon\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2013-05-13 19:45 . 2013-05-13 19:45	--------	d-----w-	c:\program files\Trend Micro
2013-05-13 19:31 . 2013-05-13 19:31	--------	d-----w-	C:\TDSSKiller_Quarantine
2013-05-13 18:15 . 2013-05-13 18:15	--------	d-----w-	c:\windows\snack
2013-05-12 22:23 . 2013-05-12 22:23	225280	----a-w-	c:\programdata\Microsoft\Media Tools\MediaIconsOverlays.dll
2013-05-12 19:43 . 2013-04-10 03:08	6906960	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{E1B62869-236A-4C08-A5BD-B544CF3F023B}\mpengine.dll
2013-04-26 09:05 . 2013-04-26 09:05	--------	d-----w-	c:\program files\Common Files\Java
2013-04-26 09:04 . 2013-04-04 03:35	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2013-04-23 17:05 . 2013-04-12 13:45	1211752	----a-w-	c:\windows\system32\drivers
tfs.sys
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-15 19:32 . 2012-06-10 13:34	692104	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-05-15 19:32 . 2012-02-05 10:28	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-05-14 20:49 . 2012-07-17 12:37	22240	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2013-05-02 00:06 . 2012-01-08 16:30	238872	------w-	c:\windows\system32\MpSigStub.exe
2013-03-31 14:07 . 2013-03-31 14:07	108144	----a-w-	c:\windows\system32\CmdLineExt.dll
2013-03-19 05:04 . 2013-04-09 20:51	3968856	----a-w-	c:\windows\system32
tkrnlpa.exe
2013-03-19 05:04 . 2013-04-09 20:51	3913560	----a-w-	c:\windows\system32
toskrnl.exe
2013-03-19 04:48 . 2013-04-09 20:51	38912	----a-w-	c:\windows\system32\csrsrv.dll
2013-03-19 02:49 . 2013-04-09 20:51	69632	----a-w-	c:\windows\system32\smss.exe
2013-03-11 23:05 . 2013-03-11 23:06	861088	----a-w-	c:\windows\system32
pDeployJava1.dll
2013-03-11 23:05 . 2012-01-08 19:01	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-03-06 22:33 . 2013-03-31 11:38	164736	----a-w-	c:\windows\system32\drivers\aswVmm.sys
2013-03-06 22:33 . 2013-03-31 11:38	49248	----a-w-	c:\windows\system32\drivers\aswRvrt.sys
2013-03-06 22:33 . 2012-01-14 11:35	368176	----a-w-	c:\windows\system32\drivers\aswSP.sys
2013-03-06 22:33 . 2012-01-14 11:35	62376	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2013-03-06 22:33 . 2012-01-14 11:35	765736	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2013-03-06 22:33 . 2012-03-23 18:14	60656	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2013-03-06 22:33 . 2012-01-14 11:35	66336	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2013-03-06 22:33 . 2012-01-14 11:35	29816	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2013-03-06 22:32 . 2012-01-14 11:33	41664	----a-w-	c:\windows\avastSS.scr
2013-03-06 22:32 . 2012-01-14 11:33	228600	----a-w-	c:\windows\system32\aswBoot.exe
2013-03-01 03:09 . 2013-04-09 20:50	2347008	----a-w-	c:\windows\system32\win32k.sys
2013-02-22 03:46 . 2013-04-10 16:56	1800704	----a-w-	c:\windows\system32\jscript9.dll
2013-02-22 03:38 . 2013-04-10 16:56	1129472	----a-w-	c:\windows\system32\wininet.dll
2013-02-22 03:37 . 2013-04-10 16:56	1427968	----a-w-	c:\windows\system32\inetcpl.cpl
2013-02-22 03:34 . 2013-04-10 16:56	142848	----a-w-	c:\windows\system32\ieUnatt.exe
2013-02-22 03:34 . 2013-04-10 16:56	420864	----a-w-	c:\windows\system32\vbscript.dll
2013-02-22 03:31 . 2013-04-10 16:56	2382848	----a-w-	c:\windows\system32\mshtml.tlb
2013-02-15 04:37 . 2013-04-09 20:49	3217408	----a-w-	c:\windows\system32\mstscax.dll
2013-02-15 04:34 . 2013-04-09 20:49	131584	----a-w-	c:\windows\system32\aaclient.dll
2013-02-15 03:25 . 2013-04-09 20:49	36864	----a-w-	c:\windows\system32	sgqec.dll
2011-12-21 07:49 . 2012-01-10 21:23	121816	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2013-03-06 22:32	121968	----a-w-	c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\1MediaIconsOverlay]
@="{1EC23CFF-4C58-458f-924C-8519AEF61B32}"
[HKEY_CLASSES_ROOT\CLSID\{1EC23CFF-4C58-458f-924C-8519AEF61B32}]
2013-05-12 22:23	225280	----a-w-	c:\programdata\Microsoft\Media Tools\MediaIconsOverlays.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Thibaut Cambon\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Thibaut Cambon\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Thibaut Cambon\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\users\Thibaut Cambon\AppData\Roaming\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveBlacklistedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}]
2013-04-16 14:10	576976	----a-w-	c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44}]
2013-04-16 14:10	576976	----a-w-	c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncedOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}]
2013-04-16 14:10	576976	----a-w-	c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncingOverlay]
@="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}"
[HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}]
2013-04-16 14:10	576976	----a-w-	c:\program files\Google\Drive\googledrivesync32.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GoogleDriveSync"="c:\program files\Google\Drive\googledrivesync.exe" [2013-04-16 19662744]
"Spybot-S&D Cleaning"="c:\program files\Spybot - Search & Destroy 2\SDCleaner.exe" [2012-11-13 3713032]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AMD AVT"="start AMD Accelerated Video Transcoding device initialization" [X]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2013-03-06 4767304]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]
.
c:\users\Thibaut Cambon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\Thibaut Cambon\AppData\Roaming\Dropbox\bin\Dropbox.exe [2013-3-12 29106336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35	946352	----a-w-	c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2010-03-06 02:44	500208	------w-	c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5ServiceManager]
2010-02-22 03:57	406992	----a-w-	c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-11-28 13:13	59280	----a-w-	c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BCSSync]
2010-03-13 13:54	91520	----a-w-	c:\program files\Microsoft Office\Office14\BCSSync.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CANAL+ CANALSAT A LA DEMANDE]
2011-10-20 10:13	163992	----a-w-	c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\Launcher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-08-02 07:33	4910912	----a-w-	c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2012-01-08 16:25	136176	----atw-	c:\users\Thibaut Cambon\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-12-12 12:57	152544	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui]
2012-12-10 16:29	2254768	----a-w-	c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
2012-11-13 13:08	3825176	----a-w-	c:\program files\Spybot - Search & Destroy 2\SDTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2013-02-28 16:50	18642024	----a-r-	c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2013-03-12 05:32	253816	----a-w-	c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37	517096	----a-w-	c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 AMPPALP;Protocole Intel® Centrino® Wireless Bluetooth® + High Speed;c:\windows\system32\DRIVERS\amppal.sys [x]
R3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys [x]
R3 aswVmm;aswVmm; [x]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [x]
R3 netw5v32;Pilote de carte de liaison WiFi sans fil Intel(R) 5000 Series pour Windows Vista 32 bits;c:\windows\system32\DRIVERS
etw5v32.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\driversdpvideominiport.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers	susbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\driversdvgkmd.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 ZSMC302;V-Gear TalkCam 1.1;c:\windows\system32\Drivers\usbvm302.sys [x]
S0 aswRvrt;aswRvrt; [x]
S1 aswKbd;aswKbd; [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 AMPPALR3;Intel® Centrino® Wireless Bluetooth® + High Speed Service;c:\program files\Intel\BluetoothHS\BTHSAmpPalService.exe [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 BTHSSecurityMgr;Intel(R) Centrino(R) Wireless Bluetooth(R) + High Speed Security Service;c:\program files\Intel\BluetoothHS\BTHSSecurityMgr.exe [x]
S2 CanalPlus.VOD;CanalPlus.VOD;c:\program files\Canal+\CANAL+ CANALSAT A LA DEMANDE\VOD\CanalPlus.VOD.exe [x]
S2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [x]
S2 SDScannerService;Spybot-S&D 2 Scanner Service;c:\program files\Spybot - Search & Destroy 2\SDFSSvc.exe [x]
S2 SDUpdateService;Spybot-S&D 2 Updating Service;c:\program files\Spybot - Search & Destroy 2\SDUpdSvc.exe [x]
S2 SDWSCService;Spybot-S&D 2 Security Center Service;c:\program files\Spybot - Search & Destroy 2\SDWSCSvc.exe [x]
S3 AMPPAL;Carte réseau virtuelle Intel® Centrino® Wireless Bluetooth® + High Speed;c:\windows\system32\DRIVERS\AMPPAL.sys [x]
S3 NETwNs32;___ Pilote de carte de la série Intel(R) Wireless WiFi Link 5000 pour Windows 7 32 bits ;c:\windows\system32\DRIVERS\NETwNs32.sys [x]
S3 SFEP;Sony Firmware Extension Parser;c:\windows\system32\DRIVERS\SFEP.sys [x]
S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [x]
S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [x]
S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [x]
S3 yukonw7;Pilote Miniport NDIS6.2 pour contrôleur Ethernet Marvell Yukon;c:\windows\system32\DRIVERS\yk62x86.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc Mcx2Svc SensrSvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService
FontCache
.
.
Contenu du dossier 'Tâches planifiées'
.
2013-05-15 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-10 19:33]
.
2013-05-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-04-25 17:51]
.
2013-05-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-04-25 17:51]
.
2013-05-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1526602329-3622394769-2401582177-1000Core.job
- c:\users\Thibaut Cambon\AppData\Local\Google\Update\GoogleUpdate.exe [2012-01-08 16:25]
.
2013-05-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1526602329-3622394769-2401582177-1000UA.job
- c:\users\Thibaut Cambon\AppData\Local\Google\Update\GoogleUpdate.exe [2012-01-08 16:25]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: &Envoyer à OneNote - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Thibaut Cambon\AppData\Roaming\Mozilla\Firefox\Profiles\yjce378a.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - (no file)
Notify-SDWinLogon - SDWinLogon.dll
MSConfigStartUp-Java Updater System - c:\users\Thibaut Cambon\AppData\Local\Temp\javaw.exe
MSConfigStartUp-Service - c:\users\Thibaut Cambon\AppData\Local\Temp\Service.exe
AddRemove-5513-1208-7298-9440 - c:\program files\JDownloader\JDUninstall.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1526602329-3622394769-2401582177-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:ab,38,ee,87,79,32,d9,f3,08,60,82,d7,8f,4a,5d,32,61,77,cf,58,7f,0f,89,
   e8,f5,ad,33,f1,6c,fd,3c,19,77,5e,fc,3d,ee,5c,38,ae,e1,54,28,29,2f,e7,bf,8d,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2013-05-15  22:16:22
ComboFix-quarantined-files.txt  2013-05-15 20:16
.
Avant-CF: 32 794 074 112 octets libres
Après-CF: 36 969 699 328 octets libres
.
- - End Of File - - DD811CA4DF563873CC12966E87C13CE6

Destrio5 · Answer

Le PC fonctionne correctement ?

leozz · Answer

Heu, toujours le soucis que je ne peux pas télécharger ...

leozz · Answer

Ca me met "échec de l'analyse antivirus"

g3n-h@ckm@n · Answer

y'a un probleme : 2013-05-13 22:52 . 2013-05-13 22:51 0 ----a-w- c:\windows\system32\drivers\csc.sys 

csc.sys fait 0 octets...

leozz · Answer

Le fichier csc que tu m'as fait remplacé g3n-h@ckm@n, j'ai du le transmettre via ma clé USD -> O octet...

Je refais ta manipe avec ton logiciel en passant par bluetooth ?

g3n-h@ckm@n · Answer

essaie oui

leozz · Answer

Je viens de le faire, j'ai toujours le problème

Quelle galère !

g3n-h@ckm@n · Answer

il fait toujours 0 octet ?

leozz · Answer

Non, il fait 379 Ko

Mais je peux toujours pas télécharger

g3n-h@ckm@n · Answer

spybot est toujours installé ?????

leozz · Answer

Oui, Spybot est toujours là.

g3n-h@ckm@n · Answer

:(

leozz · Answer

Il faut que je le désinstalle ?

g3n-h@ckm@n · Answer

oui j'aurais du te le dire au debut d ailleurs

leozz · Answer

Ok, c'est fait.

g3n-h@ckm@n · Answer

desactive windows defender aussi avast fait deja le travail

leozz · Answer

Je l'ai désinstallé.

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%LocalAppData%\*
%programFiles%\*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\system32\Tasks\*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop 
netsvcs
safebootminimal
safebootnetwork 

CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

leozz · Answer

Done.

http://cjoint.com/?CEBvktw8j0d

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Windows\Explorer.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

==========================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}     
IE - HKU\S-1-5-21-1526602329-3622394769-2401582177-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}     
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
MOD - [2013/05/27 19:56:23 | 000,154,112 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxbase294u_net_vc90.dll 
MOD - [2013/05/27 19:56:23 | 000,091,648 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_webview_vc90.dll 
MOD - [2013/05/27 19:56:22 | 004,598,272 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_core_vc90.dll 
MOD - [2013/05/27 19:56:22 | 001,234,944 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_adv_vc90.dll 
MOD - [2013/05/27 19:56:22 | 000,595,968 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxmsw294u_html_vc90.dll 
MOD - [2013/05/27 19:56:21 | 002,436,608 | ---- | M] (Python Software Foundation) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\python27.dll 
MOD - [2013/05/27 19:56:21 | 001,985,024 | ---- | M] (wxWidgets development team) -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wxbase294u_vc90.dll 
MOD - [2013/05/27 19:56:21 | 000,128,512 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_elementtree.pyd 
MOD - [2013/05/27 19:56:21 | 000,098,816 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32api.pyd 
MOD - [2013/05/27 19:56:21 | 000,044,032 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_socket.pyd 
MOD - [2013/05/27 19:56:20 | 000,557,056 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pysqlite2._sqlite.pyd 
MOD - [2013/05/27 19:56:20 | 000,026,624 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_multiprocessing.pyd 
MOD - [2013/05/27 19:56:20 | 000,022,528 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32ts.pyd 
MOD - [2013/05/27 19:56:19 | 000,805,888 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._gdi_.pyd 
MOD - [2013/05/27 19:56:19 | 000,320,512 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32com.shell.shell.pyd 
MOD - [2013/05/27 19:56:19 | 000,070,656 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._html2.pyd 
MOD - [2013/05/27 19:56:19 | 000,011,264 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32crypt.pyd 
MOD - [2013/05/27 19:56:18 | 001,022,416 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\windows._cacheinvalidation.pyd 
MOD - [2013/05/27 19:56:18 | 000,087,040 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_ctypes.pyd 
MOD - [2013/05/27 19:56:18 | 000,017,408 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32profile.pyd 
MOD - [2013/05/27 19:56:17 | 001,175,040 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._core_.pyd 
MOD - [2013/05/27 19:56:17 | 001,153,024 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_ssl.pyd 
MOD - [2013/05/27 19:56:17 | 000,735,232 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._misc_.pyd 
MOD - [2013/05/27 19:56:17 | 000,364,544 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pythoncom27.dll 
MOD - [2013/05/27 19:56:17 | 000,110,080 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pywintypes27.dll 
MOD - [2013/05/27 19:56:17 | 000,108,544 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32security.pyd 
MOD - [2013/05/27 19:56:16 | 000,811,008 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._windows_.pyd 
MOD - [2013/05/27 19:56:16 | 000,711,680 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\_hashlib.pyd 
MOD - [2013/05/27 19:56:16 | 000,122,368 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._wizard.pyd 
MOD - [2013/05/27 19:56:16 | 000,119,808 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32file.pyd 
MOD - [2013/05/27 19:56:16 | 000,035,840 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32process.pyd 
MOD - [2013/05/27 19:56:16 | 000,025,600 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32pdh.pyd 
MOD - [2013/05/27 19:56:15 | 001,062,400 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\wx._controls_.pyd 
MOD - [2013/05/27 19:56:15 | 000,038,912 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32inet.pyd 
MOD - [2013/05/27 19:56:14 | 000,686,080 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\unicodedata.pyd 
MOD - [2013/05/27 19:56:14 | 000,127,488 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\pyexpat.pyd 
MOD - [2013/05/27 19:56:14 | 000,018,432 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\win32event.pyd 
MOD - [2013/05/27 19:56:14 | 000,010,240 | ---- | M] () -- C:\Users\THIBAU~1\AppData\Local\Temp\_MEI38282\select.pyd 
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present


:Reg
[-HKEY_CURRENT_USER\Software\Conduit]     
[HKLM\Software]
""=- 
[-HKEY_LOCAL_MACHINE\Software\Conduit]     
[-HKEY_LOCAL_MACHINE\Software\McAfee.com] 
[-HKEY_LOCAL_MACHINE\Software\mcafeeupdater]     

:Files
C:\Windows\System32\drivers\csc.sy0      

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

leozz · Answer

et hop : https://www.virustotal.com/fr/file/9e1ec8b43a88e68767fd8fed2f38e7984357b3f4186d0f907e62f8b6c9ff56ad/analysis/1369685320/

je fais OTL maintenant ?

g3n-h@ckm@n · Answer

il à l'ai de puer cet explorer...

tel que demandé, oui :)

leozz · Answer

Done !

http://cjoint.com/13mi/CEBwypSYBvK.htm

PS : je suis toujours avec Avast et pare feu désactivé...

g3n-h@ckm@n · Answer

refais OTL ( l'analyse pas la correction) sous les mêmes conditions voir ?

leozz · Answer

http://cjoint.com/13mi/CECaEp5mgB6.htm

http://cjoint.com/13mi/CECaEKdbzMM.htm

g3n-h@ckm@n · Answer

suis ce tuto :

 http://www.bibou0007.com/t3659-tutorial-dr-web-cureit

leozz · Answer

Ok, c'est fait.

Il a supprimé : BlockDoor.Maxplus

Par contre, ce n'était pas du tout comme sur le tuto ... 

J'ai réactivé Avast, et il a fait des alertes dans tout les sens.
Je n'au plus accès aux paramètres pour le pare feu windows et je n'ai plus accès à google : 
"Le certificat de sécurité du site a été révoqué !
Vous avez tenté d'accéder à www.google.fr, mais le certificat présenté par le serveur a été révoqué par son émetteur. Cela signifie que le certificat présenté par le serveur ne doit pas être approuvé. Il est donc possible que vous communiquiez avec un pirate informatique.
Impossible de continuer, car l'opérateur du site Web exige une sécurité renforcée pour ce domaine."

... Ca a empiré !

leozz · Answer

Je vais peut etre formater mon PC, ça ira plus vite non ?

g3n-h@ckm@n · Answer

formate avec killdisc....

leozz · Answer

Oula, ça a l'air de faire peur ça. 
C'est facile à utiliser ? 

Le soucis c'est que mon lecteur cd ne fonctionne plus. 
(je formate avec une clé usb bootable avec Wibdows 7)

g3n-h@ckm@n · Answer

change de pc

leozz · Answer

Non, mais blague. 
Je vais pas changger de PC quanmême. me 

Tu penses qu'un formatage classique ne fonctionnera pas ?

g3n-h@ckm@n · Answer

10 fois qu'on l'enlève ce rootkit....tu jouerais pas avec des cr@cks par hasard ?

retente ca :
https://forums.commentcamarche.net/forum/affich-27803043-sirefef?full#1

leozz · Answer

Je refais un pré_scan là.
 Pas tant que ça les CR@acks.

Non mais si on peut rien faire de plus je formate moi, jai besoin du PC pour bosser et la je suis complètement bloqué.

 Tu penses que le virus va rester après un formatage ?

leozz · Answer

Done : http://cjoint.com/13mi/CEDw0cO8Rar.htm

g3n-h@ckm@n · Answer

fais un diag

leozz · Answer

http://cjoint.com/13mi/CEDxvBNob9q.htm

g3n-h@ckm@n · Answer

tu joues à quoi avec les logiciels de gravre ?

 [28/05/2013 21:10:57] - |D| - [6048901] - C:\Program Files\UltraISO
[28/05/2013 21:18:34] - |D| - [6131891] - C:\Program Files\PowerISO
[28/05/2013 21:42:26] - |D| - [3103863] - C:\Program Files\MagicISO
[28/05/2013 21:51:29] - |D| - [3054760] - C:\Program Files\ImgBurn

leozz · Answer

Transformer un ISO en UDF, je cherchais un logiciel

leozz · Answer

Transformer un ISO en UDF

g3n-h@ckm@n · Answer

bah c'est la meme chose non ?

leozz · Answer

C'est ce que je viens de poster : http://cjoint.com/13mi/CEDxvBNob9q.htm

g3n-h@ckm@n · Answer

Transformer un ISO en UDF
bah c'est la meme chose non ?

g3n-h@ckm@n · Answer

bah si t'as toujours des soucis réinstalle... mais formate le disque entier avec killdisc

Sirefef

108 réponses

Discussions similaires

Newsletters