Le trojan Gendarmerie... Résolu/Fermé

Question

Bonjour, 

Mon ordi a été infecté par le fameux virus. J'ai tenté de le supprimer, mais je n'y arrive pas. J'ai fait un CD Live Makeval qui me permet d'accéder à l'explorer et à internet. Mais je reste bloqué. J'ai tenté de faire tourner RogueKiller ou Malwarebytes Anti Malware mais ca n'a pas supprimé le virus. Pourriez-vous m'aiguiller s'il vous plait?

Par avance, merci.

Utilisateur anonyme · Answer

bonjour,

depuis ton pc ,

* [*] Télécharger et enregistre RogueKiller sur le bureau 
https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si RogueKiller ne se lance pas, change son nom en Winlogon. 

Tuto :
http://tigzyrk.blogspot.fr/2012/10/fr-roguekiller-tutoriel-officiel.html

Thibaut · Answer

Voila le rapport... RogueKiller V8.5.1 [Feb 12 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Système [Droits d'admin] Mode : Suppression -- Date : 20/05/2013 21:25:51 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 13 ¤¤¤ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1) [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ -> D:\windows\system32\config\SOFTWARE -> D:\windows\system32\config\SYSTEM -> D:\Users\Default\NTUSER.DAT -> D:\Users\TEMP\NTUSER.DAT -> D:\Users\Thibaut\NTUSER.DAT ¤¤¤ Fichier HOSTS: ¤¤¤ --> X:\windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 099eeee54a79be6b554fffe090b1090e [BSP] 39e887904b444e28b1c77d36a929c391 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 300 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 616448 | Size: 220764 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 452741120 | Size: 15360 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 484198400 | Size: 2043 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_20052013_212551.txt >> RKreport[1]_S_20052013_212349.txt ; RKreport[2]_D_20052013_212551.txt

Utilisateur anonyme · Answer

redémarre ton pc en mode normal,

 
* Télécharge ZHPDiag sur ton bureau :
	
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur le tourne vis , sélectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Thibaut · Answer

En mode normal, tu veux dire sans le cd live Malekal? 
Si c'est bien ce que tu veux dire alors je ne peux pas. Le virus est tjs présent dès le démarrage et m'empêche donc l'accès au bureau. 
Que puis-je faire?

Utilisateur anonyme · Answer

normalement, tu dois pouvoir redémarrer ton pc en mode normal !


au pire des cas, essaie en mode sans echec avec la prise en charge du réseau !

Thibaut · Answer

En mode normal, j'ai toujours le virus. Et en mode sans echec avec prise en charge du réseau, je me logue dans ma session Windows et aussitôt, Windows lance un redémarrage. Sans avoir pu bouger un doigt.

Comment faire?

Ca m'angoisse ce truc...

Thibaut · Answer

Après une nouvelle recherche et dans le but d'être le plus précis possible, je pense avoir le virus appelé 'Ransomware Office central de lutte contre la criminalité (variante 3 - nymaim)' sur le site malekal.com. Je ne peux pas faire de restauration, il n'y a pas de sauvegarde ni rien. Donc je pense que c'est vraiment ce virus là. 

Du coup, on parle de cle shell modifiée, et niveau solution, on parle de  copier explorer.exe à la place de mcafee.ini...

Et là, je ne comprends pas grand chose. Et il n'y a pas vraiment d'explications détaillées pour qui ne s'y connait pas du tout.

Pourrais-tu essayer de m'aider?

Utilisateur anonyme · Answer

il y a eu une cinquantaine de variantes de cette infection, toute différente, les unes et les autres !

pour l'explication, ça va prendre des mois !

ceci dit que roguekiller devrait mettre tout en état.

si tu es sous environnent de Cd live malekal, tu peux activer ta connexion et lancer un scan de MBAM sur ton pc !

Thibaut · Answer

Bon, alors j'ai refait un scan Roguekiller vu que j'ai un peu plus le temps de me pencher dessus ce soir. Je te donne le rapport généré. En attendant, MBAM est en train de tourner (j'ai fait un scan complet), je t'envoie le rapport une fois celui ci terminé également. RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : Système [Droits d'admin] Mode : Suppression -- Date : 23/05/2013 20:50:11 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 13 ¤¤¤ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REMPLACÉ (1) [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REMPLACÉ (1) [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ -> C:\windows\system32\config\SOFTWARE -> C:\windows\system32\config\SYSTEM -> C:\Users\Default\NTUSER.DAT -> C:\Users\Default User\NTUSER.DAT -> C:\Users\TEMP\NTUSER.DAT -> C:\Users\Thibaut\NTUSER.DAT -> C:\Documents and Settings\Default\NTUSER.DAT -> C:\Documents and Settings\Default User\NTUSER.DAT -> C:\Documents and Settings\TEMP\NTUSER.DAT -> C:\Documents and Settings\Thibaut\NTUSER.DAT ¤¤¤ Fichier HOSTS: ¤¤¤ --> X:\windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK2556GSY SATA Disk Device +++++ --- User --- [MBR] 099eeee54a79be6b554fffe090b1090e [BSP] 39e887904b444e28b1c77d36a929c391 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 300 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 616448 | Size: 220764 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 452741120 | Size: 15360 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 484198400 | Size: 2043 Mo User = LL1 ... OK! User != LL2 ... KO! --- LL2 --- [MBR] 38ae4d6ecf7f160b33790ee2f0b56e5f [BSP] 6804831d50fbcca73b2c249938385e95 : Windows Vista MBR Code Partition table: 0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 160000000 | Size: 1000 Mo 1 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 163999744 | Size: 2000 Mo Termine : << RKreport[2]_D_23052013_205011.txt >> RKreport[1]_S_23052013_204959.txt ; RKreport[2]_D_23052013_205011.txt

Utilisateur anonyme · Answer

ok pour le rapport de MBAM !



O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manièr claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø

Thibaut · Answer

Voila le rapport MBAM

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.23.11

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 8.0.7100.0
Système :: MININT-PEWJ30 [administrateur]

2013-05-23 20:52:37
MBAM-log-2013-05-23 (22-12-27).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 324553
Temps écoulé: 1 heure(s), 19 minute(s), 25 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoFind (PUM.Hijack.Find) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Thibaut\Documents\4571ec63.dll (Trojan.Downloader) -> Aucune action effectuée.
C:\Users\Thibaut\Documents\4571ec63.exe (Trojan.Downloader) -> Aucune action effectuée.

(fin)

Thibaut · Answer

Ca y est! J'ai enfin pu accéder à mon Bureau en mode normal. 

J'ai tout de suite fait un scan ZHPDiag, je te joins le rapport. Dis-moi s'il faut faire encore quelque chose.

http://cjoint.com/?3ExxvkExuxo

J'ai également fait tourner Adwcleaner et tout supprimé. 



Et j'ai toujours au démarrage un écran de commandes qui me dit:


Microsoft Windows [version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Tous droits réservés.
'"C:\Users\Thibaut\Documents\4571ec63.exe"' n'est pas reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes.
C:\windows\system32>

Donc j'ai mis explorer.exe mais j'aimerais bien que cela n'apparaisse plus.


Par avance, et déjà, merci mille fois!

Utilisateur anonyme · Answer

l'infection est encore sur le pc, tu ne l'as pas viré avec MBAM !


C:\Users\Thibaut\Documents\4571ec63.dll (Trojan.Downloader) -> Aucune action effectuée. 
C:\Users\Thibaut\Documents\4571ec63.exe (Trojan.Downloader) -> Aucune action effectuée. 
 
 

regarde dans l'interface de MBAM et vire ce qu'il a trouvé !


redémarre ton pc et poste son rapport

Thibaut · Answer

Voici le rapport

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.24.02

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 10.0.9200.16576
Thibaut :: THIBAUT-HP [administrateur]

24/05/2013 07:45:32
mbam-log-2013-05-24 (07-45-32).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 401077
Temps écoulé: 1 heure(s), 47 minute(s), 9 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


J'ai relancé l'ordi, et il s'ouvre toujours avec la fenêtre de commande dans laquelle je dois taper explorer.exe

Utilisateur anonyme · Answer

&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista & Windows7 : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de Combofix.txt dans ton prochain message.

Thibaut · Answer

Et voila le rapport demandé

ComboFix 13-05-24.01 - Thibaut 24/05/2013  20:00:29.1.2 - x86
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.1789.953 [GMT 2:00]
Lancé depuis: c:\users\Thibaut\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}
SP: Microsoft Security Essentials *Disabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\2433f433
C:\Thumbs.db
c:\users\Thibaut\AppData\Roaming\2433f433
c:\windows\system32\muzapp.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2013-04-24 au 2013-05-24  ))))))))))))))))))))))))))))))))))))
.
.
2013-05-24 17:55 . 2013-05-24 17:55	29904	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F1257937-B52C-4485-809D-0903B8AFC6F3}\MpKsl5978943f.sys
2013-05-24 05:44 . 2013-05-24 05:44	--------	d-----w-	c:\users\Thibaut\AppData\Roaming\Malwarebytes
2013-05-24 05:44 . 2013-05-24 05:44	--------	d-----w-	c:\programdata\Malwarebytes
2013-05-24 05:44 . 2013-05-24 05:44	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2013-05-24 05:44 . 2013-04-04 12:50	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-05-24 05:43 . 2013-05-24 05:43	--------	d-----w-	c:\users\Thibaut\AppData\Local\Programs
2013-05-23 21:41 . 2013-05-23 21:41	--------	d-----w-	c:\program files\Common Files\Java
2013-05-23 21:40 . 2013-04-04 03:35	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2013-05-23 21:35 . 2013-05-23 21:35	--------	d-----w-	c:\program files\Hosts_Anti_Adwares_PUPs
2013-05-23 21:30 . 2013-05-23 21:31	339	----a-w-	c:\windows\DeleteOnReboot.bat
2013-05-23 21:12 . 2013-05-23 21:12	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2013-05-23 21:04 . 2013-05-23 21:03	724464	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{72BE16EF-7A57-41E1-B15A-6FE0E08025BA}\gapaengine.dll
2013-05-23 21:03 . 2013-05-13 06:19	7016152	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F1257937-B52C-4485-809D-0903B8AFC6F3}\mpengine.dll
2013-05-23 20:56 . 2013-05-23 21:12	--------	d-----w-	C:\ZHP
2013-05-23 20:56 . 2013-05-23 21:12	--------	d-----w-	c:\program files\ZHPDiag
2013-05-19 18:27 . 2013-05-13 06:19	7016152	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-05-18 16:45 . 2013-03-19 04:53	186368	----a-w-	c:\windows\system32\wwansvc.dll
2013-05-18 16:45 . 2013-03-19 03:33	40960	----a-w-	c:\windows\system32\wwanprotdim.dll
2013-05-18 16:45 . 2013-04-10 03:14	2347520	----a-w-	c:\windows\system32\win32k.sys
2013-05-18 16:45 . 2013-04-10 05:18	728424	----a-w-	c:\windows\system32\drivers\dxgkrnl.sys
2013-05-18 16:45 . 2013-04-10 05:18	218984	----a-w-	c:\windows\system32\drivers\dxgmms1.sys
2013-05-18 16:44 . 2013-02-27 05:05	101720	----a-w-	c:\windows\system32\consent.exe
2013-05-18 16:44 . 2013-02-27 04:49	1796096	----a-w-	c:\windows\system32\authui.dll
2013-05-18 16:44 . 2013-02-27 04:49	47104	----a-w-	c:\windows\system32\appinfo.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-05-02 15:28 . 2010-12-24 22:29	238872	------w-	c:\windows\system32\MpSigStub.exe
2013-04-23 19:29 . 2011-03-27 19:59	706640	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2013-04-13 04:45 . 2013-05-18 16:45	474624	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2013-04-13 04:45 . 2013-05-18 16:45	2176512	----a-w-	c:\windows\apppatch\AcGenral.dll
2013-04-12 13:45 . 2013-04-23 19:26	1211752	----a-w-	c:\windows\system32\drivers
tfs.sys
2013-03-30 07:39 . 2013-03-30 07:39	745472	----a-w-	c:\windows\system32\MsSpellCheckingFacility.exe
2013-03-30 07:39 . 2013-03-30 07:39	185344	----a-w-	c:\windows\system32\elshyph.dll
2013-03-30 07:38 . 2013-03-30 07:38	523264	----a-w-	c:\windows\system32\vbscript.dll
2013-03-30 07:38 . 2013-03-30 07:38	158720	----a-w-	c:\windows\system32\msls31.dll
2013-03-30 07:38 . 2013-03-30 07:38	150528	----a-w-	c:\windows\system32\iexpress.exe
2013-03-30 07:38 . 2013-03-30 07:38	138752	----a-w-	c:\windows\system32\wextract.exe
2013-03-30 07:38 . 2013-03-30 07:38	137216	----a-w-	c:\windows\system32\ieUnatt.exe
2013-03-30 07:38 . 2013-03-30 07:38	12800	----a-w-	c:\windows\system32\mshta.exe
2013-03-30 07:38 . 2013-03-30 07:38	38400	----a-w-	c:\windows\system32\imgutil.dll
2013-03-30 07:38 . 2013-03-30 07:38	73728	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2013-03-30 07:38 . 2013-03-30 07:38	61952	----a-w-	c:\windows\system32	dc.ocx
2013-03-30 07:38 . 2013-03-30 07:38	48640	----a-w-	c:\windows\system32\mshtmler.dll
2013-03-30 07:38 . 2013-03-30 07:38	110592	----a-w-	c:\windows\system32\IEAdvpack.dll
2013-03-30 07:38 . 2013-03-30 07:38	719360	----a-w-	c:\windows\system32\mshtmlmedia.dll
2013-03-30 07:38 . 2013-03-30 07:38	361984	----a-w-	c:\windows\system32\html.iec
2013-03-30 07:38 . 2013-03-30 07:38	1441280	----a-w-	c:\windows\system32\inetcpl.cpl
2013-03-30 07:38 . 2013-03-30 07:38	23040	----a-w-	c:\windows\system32\licmgr10.dll
2013-03-30 07:37 . 2013-03-30 07:37	49152	----a-w-	c:\windows\system32	askhost.exe
2013-03-30 07:36 . 2013-03-30 07:36	9728	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-03-30 07:36 . 2013-03-30 07:36	5632	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-03-30 07:36 . 2013-03-30 07:36	5632	---ha-w-	c:\windows\system32\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-03-30 07:36 . 2013-03-30 07:36	4096	---ha-w-	c:\windows\system32\api-ms-win-downlevel-user32-l1-1-0.dll
2013-03-30 07:36 . 2013-03-30 07:36	3584	---ha-w-	c:\windows\system32\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-03-30 07:36 . 2013-03-30 07:36	3072	---ha-w-	c:\windows\system32\api-ms-win-downlevel-version-l1-1-0.dll
2013-03-30 07:36 . 2013-03-30 07:36	3072	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-03-30 07:36 . 2013-03-30 07:36	2560	---ha-w-	c:\windows\system32\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-03-30 07:36 . 2013-03-30 07:36	1158144	----a-w-	c:\windows\system32\XpsPrint.dll
2013-03-30 07:36 . 2013-03-30 07:36	10752	---ha-w-	c:\windows\system32\api-ms-win-downlevel-advapi32-l1-1-0.dll
2013-03-30 07:36 . 2013-03-30 07:36	364544	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2013-03-30 07:36 . 2013-03-30 07:36	906240	----a-w-	c:\windows\system32\FntCache.dll
2013-03-30 07:36 . 2013-03-30 07:36	604160	----a-w-	c:\windows\system32\d3d10level9.dll
2013-03-30 07:36 . 2013-03-30 07:36	417792	----a-w-	c:\windows\system32\WMPhoto.dll
2013-03-30 07:36 . 2013-03-30 07:36	3419136	----a-w-	c:\windows\system32\d2d1.dll
2013-03-30 07:36 . 2013-03-30 07:36	293376	----a-w-	c:\windows\system32\dxgi.dll
2013-03-30 07:36 . 2013-03-30 07:36	249856	----a-w-	c:\windows\system32\d3d10_1core.dll
2013-03-30 07:36 . 2013-03-30 07:36	2284544	----a-w-	c:\windows\system32\msmpeg2vdec.dll
2013-03-30 07:36 . 2013-03-30 07:36	220160	----a-w-	c:\windows\system32\d3d10core.dll
2013-03-30 07:36 . 2013-03-30 07:36	207872	----a-w-	c:\windows\system32\WindowsCodecsExt.dll
2013-03-30 07:36 . 2013-03-30 07:36	1988096	----a-w-	c:\windows\system32\d3d10warp.dll
2013-03-30 07:36 . 2013-03-30 07:36	187392	----a-w-	c:\windows\system32\UIAnimation.dll
2013-03-30 07:36 . 2013-03-30 07:36	161792	----a-w-	c:\windows\system32\d3d10_1.dll
2013-03-30 07:36 . 2013-03-30 07:36	1504768	----a-w-	c:\windows\system32\d3d11.dll
2013-03-30 07:36 . 2013-03-30 07:36	1247744	----a-w-	c:\windows\system32\DWrite.dll
2013-03-30 07:36 . 2013-03-30 07:36	1230336	----a-w-	c:\windows\system32\WindowsCodecs.dll
2013-03-30 07:36 . 2013-03-30 07:36	1080832	----a-w-	c:\windows\system32\d3d10.dll
2013-03-29 10:17 . 2009-07-14 02:05	152576	----a-w-	c:\windows\system32\msclmd.dll
2013-03-19 05:04 . 2013-04-11 20:37	3968856	----a-w-	c:\windows\system32
tkrnlpa.exe
2013-03-19 05:04 . 2013-04-11 20:37	3913560	----a-w-	c:\windows\system32
toskrnl.exe
2013-03-19 04:48 . 2013-04-11 20:37	38912	----a-w-	c:\windows\system32\csrsrv.dll
2013-03-19 02:49 . 2013-04-11 20:37	69632	----a-w-	c:\windows\system32\smss.exe
2013-03-08 20:14 . 2012-12-11 19:29	861088	----a-w-	c:\windows\system32
pDeployJava1.dll
2013-03-08 20:14 . 2012-12-11 19:29	782240	----a-w-	c:\windows\system32\deployJava1.dll
2012-09-19 18:50 . 2011-07-30 16:40	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2010-02-22 2363392]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408]
"KiesPreload"="c:\program files\Samsung\Kies\Kies.exe" [2012-12-20 1476104]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QLBController"="c:\program files\Hewlett-Packard\HP HotKey Support\QLBController.exe" [2010-03-01 256056]
"PDF Complete"="c:\program files\PDF Complete\pdfsty.exe" [2010-03-06 563736]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2012-12-10 1791272]
"HPWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe" [2010-04-05 8192]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-04-08 102400]
"estar"="c:\system.sav\Util\HideDOS.EXE" [2006-11-28 77824]
"NortonOnlineBackupReminder"="c:\program files\Symantec\Norton Online Backup\Activation\NOBuActivation.exe" [2009-12-03 3331944]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2013-01-27 947152]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2012-06-16 98304]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2012-12-04 495708]
"KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2012-12-20 310280]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Malwarebytes Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2013-04-04 532040]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SPReview"="c:\windows\System32\SPReview\SPReview.exe" [2013-03-24 280576]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-12-29 795936]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 RoxMediaDB10;RoxMediaDB10;c:\program files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe [x]
R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 XPADFL02;XPAD Filter Service 02;c:\windows\system32\DRIVERS\xpadfl02.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 MpKsl5978943f;MpKsl5978943f;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{F1257937-B52C-4485-809D-0903B8AFC6F3}\MpKsl5978943f.sys [x]
S2 AESTFilters;Andrea ST Filters Service;c:\program files\IDT\WDM\aestsrv.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 HP Support Assistant Service;HP Support Assistant Service;c:\program files\Hewlett-Packard\HP Support Framework\hpsa_service.exe [x]
S2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [x]
S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files\Hewlett-Packard\Shared\HPDrvMntSvc.exe [x]
S2 hpHotkeyMonitor;HP Hotkey Monitor;c:\program files\Hewlett-Packard\HP HotKey Support\hpHotkeyMonitor.exe [x]
S2 libusbd;LibUsb-Win32 - Daemon, Version 0.1.10.1;c:\windows\system32\libusbd-nt.exe [x]
S2 pdfcDispatcher;PDF Document Manager;c:\program files\PDF Complete\pdfsvc.exe [x]
S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\DRIVERS\lgbtport.sys [x]
S3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\DRIVERS\lgbtbus.sys [x]
S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\DRIVERS\lgvmodem.sys [x]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;c:\windows\system32\drivers\libusb0.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 rtsuvc;HP Webcam [2 MP Fixed];c:\windows\system32\DRIVERStsuvc.sys [x]
S3 WSDScan;Prise en charge de la numérisation WSD via UMB;c:\windows\system32\DRIVERS\WSDScan.sys [x]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MPKSL5978943F
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc Mcx2Svc SensrSvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - LocalService
FontCache
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2010-02-22 18:38	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2013-05-24 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 20:26]
.
2013-05-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1368270982-1178393571-1526864278-1001Core.job
- c:\users\Thibaut\AppData\Local\Google\Update\GoogleUpdate.exe [2010-12-24 12:18]
.
2013-05-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1368270982-1178393571-1526864278-1001UA.job
- c:\users\Thibaut\AppData\Local\Google\Update\GoogleUpdate.exe [2010-12-24 12:18]
.
2013-05-18 c:\windows\Tasks\HPCeeScheduleForThibaut.job
- c:\program files\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-01-05 10:53]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
Trusted Zone: //about.htm/
Trusted Zone: //Exclude.htm/
Trusted Zone: //FWEvent.htm/
Trusted Zone: //LanguageSelection.htm/
Trusted Zone: //Message.htm/
Trusted Zone: //MyAgttryCmd.htm/
Trusted Zone: //MyAgttryNag.htm/
Trusted Zone: //MyNotification.htm/
Trusted Zone: //NOCLessUpdate.htm/
Trusted Zone: //quarantine.htm/
Trusted Zone: //ScanNow.htm/
Trusted Zone: //strings.vbs/
Trusted Zone: //Template.htm/
Trusted Zone: //Update.htm/
Trusted Zone: //VirFound.htm/
Trusted Zone: mcafee.com\*
Trusted Zone: mcafeeasap.com\betavscan
Trusted Zone: mcafeeasap.com\vs
Trusted Zone: mcafeeasap.com\www
TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
FF - ProfilePath - c:\users\Thibaut\AppData\Roaming\Mozilla\Firefox\Profiles\zkc33r51.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKCU-Run-KiesAirMessage - c:\program files\Samsung\Kies\KiesAirMessage.exe
HKCU-Run-qcgce2mrvjq91kk1e7pnbb19m52fx - c:\users\Thibaut\Documents\4571ec63.exe
AddRemove-LSI Soft Modem - c:\windows\agrsmdel
AddRemove-25_escape - c:\program files\Samsung\USB Drivers\25_escape\Uninstall.exe
AddRemove-{EE202411-2C26-49E8-9784-1BC1DBF7DE96} - c:\program files\InstallShield Installation Information\{EE202411-2C26-49E8-9784-1BC1DBF7DE96}\setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\pdfcDispatcher]
"ImagePath"="c:\program files\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0006\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0007\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0008\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2013-05-24  21:00:44
ComboFix-quarantined-files.txt  2013-05-24 19:00
.
Avant-CF: 75 339 370 496 octets libres
Après-CF: 75 737 296 896 octets libres
.
- - End Of File - - 7BD6562EE61A4D7FB4FF5D6CFE3DCADA

Utilisateur anonyme · Answer

ok,

redémarre le pc et donne moi des nouvelles de son fonctionnement

Thibaut · Answer

C'est bon! Plus d'écran de commande au démarrage.

Merci mille fois pour toute l'aide fournie!

Utilisateur anonyme · Answer

ok, mais ce n'est pas pour autant que ton pc est sorti d'affaire !

 * Télécharge ZHPDiag sur ton bureau :
	
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur le tourne vis , sélectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Thibaut · Answer

Voila

http://cjoint.com/?3EzkmrGAMFu

Utilisateur anonyme · Answer

*	/!\ Avertissement /!\,
*	ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !

*	Lance ZHPFix via le raccourci sur ton Bureau

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

[HKCU\Software\SweetIM]   
[HKLM\Software\SweetIM]   
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2411} - (Search Results) - https://www.search.ask.com/web?l=dis&q=&o=APN10655A&apn_dtid=%5EBND101%5EYY%5EFR&shad=s_0048&gct=hp&apn_ptnrs=%5EAG5&d=101-0&lang=en&atb=sysid%3D101%3Auid%3D58c9331d816657ac%3Asrc%3Dhmp%3Ao%3DAPN10655A%3Atg%3D&p2=%5EAG5%5EBND101%5EYY%5EFR    
O87 - FAEL: "{C85687F2-8927-4384-9355-E4E43BE185FA}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)   
O87 - FAEL: "{2377CC83-092A-45FD-B493-4C33D6A573C9}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.)   
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2411}]   
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- C:\Program Files\QuickTime\qttask.exe
Emptytemp
EmptyClsid
Firewallraz

---------------------------------------------------------- 

- Si tu ne trouves pas le bouton GO, clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à gauche de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Thibaut · Answer

Voila:

Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre : 
Run by Thibaut at 25/05/2013 16:04:18
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\SweetIM
SUPPRIME Key: HKLM\Software\SweetIM
SUPPRIME Key: SearchScopes :{9BB47C17-9C68-4BB3-B188-DD9AF0FD2411}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2411}

========== Valeur(s) du Registre ==========
SUPPRIME {C85687F2-8927-4384-9355-E4E43BE185FA}
SUPPRIME {2377CC83-092A-45FD-B493-4C33D6A573C9}
SUPPRIME RunValue: QuickTime Task
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIME FirewallRaz (Public) : {DA6319CC-A262-498B-85D0-A1581B22B4E0}
SUPPRIME FirewallRaz (Public) : {E49145E1-29E1-4452-A706-700590ECD831}
SUPPRIME FirewallRaz (None) : {9746C951-A27F-476F-810D-9AAEB80AC0F1}
SUPPRIME FirewallRaz (Private) : {054B1A75-7604-4A2E-8A35-7C73587E60EF}
SUPPRIME FirewallRaz (Private) : {8499176D-9776-490A-BAB7-B12E0B15E8C4}
SUPPRIME FirewallRaz (Private) : {96544C9D-916E-4A3F-B332-9E9748CE4C9C}
SUPPRIME FirewallRaz (Private) : {5870336F-E26F-48CF-ADC9-08A9F4735BAC}

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichier(s) ==========
SUPPRIME Temporaires Windows


========== Récapitulatif ==========
4 : Clé(s) du Registre
18 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)


End of clean in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 25/05/2013 16:04:19 [1999]

Utilisateur anonyme · Answer

super,

redémarre ton pc et donne moi des nouvelles de son fonctionnement avant de terminer le nettoyage

Thibaut · Answer

Pas de problème au démarrage. Tout me semble OK.

Utilisateur anonyme · Answer

super,

* pour désinstaller les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
 

	Coche les cases suivantes :
	=> Réactive l'Uac (juste pour Vista, Seven et W8)
	=> Supprimer les outils de désinfection (coché par défaut)
=> Purger la restauration système 
=> Réinitialisation des paramètres système
	

* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport
** le rapport est stocké à cet emplacement : C:\DelFix.txt
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.

Thibaut · Answer

Et voila le rapport:

# DelFix v10.2 - Rapport créé le 25/05/2013 à 17:04:20
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : Thibaut - THIBAUT-HP
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Thibaut\Desktop\ComboFix.exe
Supprimé : C:\Users\Thibaut\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Thibaut\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Thibaut\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Thibaut\Downloads\adwcleaner.exe
Supprimé : C:\windows\grep.exe
Supprimé : C:\windows\PEV.exe
Supprimé : C:\windows\NIRCMD.exe
Supprimé : C:\windows\MBR.exe
Supprimé : C:\windows\SED.exe
Supprimé : C:\windows\SWREG.exe
Supprimé : C:\windows\SWSC.exe
Supprimé : C:\windows\SWXCACLS.exe
Supprimé : C:\windows\Zip.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~ Purge de la restauration système ...

Supprimé : RP #442 [Windows Update | 05/23/2013 21:02:50]
Supprimé : RP #443 [Installed Java 7 Update 21 | 05/23/2013 21:39:42]
Supprimé : RP #444 [Windows Update | 05/24/2013 22:09:58]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

Utilisateur anonyme · Answer

* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

Thibaut · Answer

J'ai fait donc la mise à jour et lancé l'antivirus. Il m'a déniché un trojan et un adware que j'ai supprimé. Il m'indique maintenant: Etat du PC: Protégé.

Il y a encore quelque chose à faire?

Utilisateur anonyme · Answer

bah non  :D

sur ce, bon surf  ;-)

Thibaut · Answer

Merci beaucoup pour ton temps et ta disponibilité.

Cela m'a évité bien des problèmes.

En espérant ne jamais refaire appel à tes services...

Bonne soirée!

Utilisateur anonyme · Answer

il ne faut jamais dire jamais !  :mdr:

Le trojan Gendarmerie...

31 réponses

Discussions similaires