Bonjour, mon ordinateur est bloquer avec le fameux virus Police. Je ne suis pas une pro en informatique mais je bidouille un peu en suivant les instructions sur les différents forum mais jusqu'ici rien a faire je n'arrive pas a le débloquer. Je suis sur un notebook Assus donc pas la possibilité d'utiliser de cd. Du coup j'ai placer winlogon.exe sur une clé usb en l'utilisant avec le mode sans échec avec invite de commande, rien de changer au redémarage. J'ai essayer le même type de manip avec Roguekiller sans plus de résultat. Et a chaque fois que je veut faire une restauration de système, l'ordinateur redémare avant que je ne puisse faire quoi que ce soit. Je ne vois plus trop quoi essayer, auriez-vous une solution ? Merci d'avance. Configuration: Windows seven/ Firefox 12.0

Virus Police [Résolu]

Réponse 1 / 14

lilidurhone Messages postés 43347 Date d'inscription lundi 25 avril 2011 Statut Contributeur sécurité Dernière intervention 31 octobre 2024 3 806
21 mai 2013 à 13:10

Hello vous deux :)

The Deceiver tu te débrouilles bien mais là visiblement il y a comme un petit problème

Je sais que je vais m'attirer les foudres me prendre des -1 mais il serait grand temps qu'un contributeur sécurité prenne le relais

En effet il est possible de supprimer le virus Police en passant par un environnement live soit en bootant avec un lecteur graveur externe et un live cd comme celui de malekal
Soit en passant par clé usb

Bref ce n'est que mon opinion libre à vous de l'approuver

Réponse 2 / 14

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 mai 2013 à 15:09

bon on va faire CD Live.

Utilise le CD Live Malekal : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows et donc de désinfecter ton ordinateur.

Suis la procédure indiqué sur la page :
- Utilise ISO2Disc pour graver l'ISO ou mettre sur Clef USB.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- Une fois sur le CD Live Malekal - Lance RogueKiller
- Fais un scan
- Puis clic à droite sur Suppression (après le scan il doit être dégrisé).
- Le rapport RogueKiller est alors créé sur le bureau, copie/colle dans un nouveau message.
(tu peux poster depuis le Live CD, si tu as fait fonctionner le réseau/internet)
- Redémarre l'ordinateur et vois ce que cela donne.

Si RogueKiller ne résoud pas le prb.
Sur le CD, lance OTLPE, choisis le dossier Windows et la session infectée.
Lance le scan et fournit le rapport.

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 17:36

Le rapport Roguekiller est vide et sur le bureau j'ai un dossier qui s'appelle RK_QUARANTINE qui c'est crée c'est celui la ?

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 mai 2013 à 17:45

ça c'est les fichiers déplacés.
Regarde sur C:\RogueKiller.txt

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 18:02

Donc Roguekiller n'a pas fonctinner j'ai effectuer le scan OTPLE.

OTL logfile created on: 2013-05-21 17:55:17 - Run
OTLPE by OldTimer - Version 3.1.29.0 Folder = Y:\Programs\OTLPE
Windows 7 Home Premium Service Pack 1 (Version = 6.1.7601) - Type = System
Internet Explorer (Version = 9.0.8112.16421)
Locale: 0000040c | Country: France | Language: FRA | Date Format: dd/MM/yyyy

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free
2,00 Gb Paging File | 1,00 Gb Available in Paging File | 66,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\windows | %ProgramFiles% = C:\Program Files
Drive C: | 100,00 Gb Total Space | 5,05 Gb Free Space | 5,05% Space Free | Partition Type: NTFS
D: Drive not present or media not loaded
Drive E: | 350,74 Gb Total Space | 0,02 Gb Free Space | 0,00% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded
Drive X: | 256,74 Mb Total Space | 254,31 Mb Free Space | 99,05% Space Free | Partition Type: NTFS
Drive Y: | 951,94 Mb Total Space | 306,70 Mb Free Space | 32,22% Space Free | Partition Type: FAT32

Computer Name: MININT-PEUP50
Current User Name: Système
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: All users
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard
Using ControlSet: ControlSet001

[color=#E56717]========== Win32 Services (SafeList) ==========[/color]

SRV - [2013-05-15 10:51:26 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [Disabled] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013-05-11 12:37:26 | 000,065,640 | ---- | M] (Adobe Systems Incorporated) [Disabled] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2013-04-04 14:50:32 | 000,418,376 | ---- | M] (Malwarebytes Corporation) [Disabled] -- C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2013-03-19 06:53:27 | 000,186,368 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\wwansvc.dll -- (WwanSvc)
SRV - [2012-10-29 12:24:57 | 000,115,168 | ---- | M] (Mozilla Foundation) [Disabled] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012-09-09 23:30:22 | 000,821,648 | ---- | M] (Apple Inc.) [Disabled] -- C:\Program Files\iPod\bin\iPodService.exe -- (iPod Service)
SRV - [2012-08-11 16:43:06 | 000,055,184 | ---- | M] (Apple Inc.) [Disabled] -- C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2012-04-12 10:12:38 | 000,053,224 | ---- | M] (Bitdefender) [Disabled] -- C:\Program Files\Bitdefender\Bitdefender 2012\updatesrv.exe -- (UPDATESRV)
SRV - [2012-04-12 10:12:05 | 001,553,392 | ---- | M] (Bitdefender) [Disabled] -- C:\Program Files\Bitdefender\Bitdefender 2012\vsserv.exe -- (VSSERV)
SRV - [2012-03-06 17:27:31 | 000,067,120 | ---- | M] (Bitdefender) [Disabled] -- C:\Program Files\Bitdefender\Bitdefender SafeBox\safeboxservice.exe -- (SafeBox)
SRV - [2012-01-18 14:38:28 | 000,155,320 | ---- | M] (Avanquest Software) [Disabled] -- C:\Program Files\Sony\Sony PC Companion\PCCService.exe -- (Sony PC Companion)
SRV - [2011-12-27 04:01:54 | 001,343,400 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2011-12-27 03:54:07 | 000,307,544 | ---- | M] (BitDefender) [Disabled] -- C:\Program Files\Common Files\Bitdefender\Bitdefender Arrakis Server\bin\arrakis3.exe -- (Update Server)
SRV - [2011-08-31 00:05:02 | 000,390,504 | ---- | M] (Apple Inc.) [Disabled] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service)
SRV - [2011-07-21 10:20:26 | 000,008,192 | ---- | M] (Oodrive) [Disabled] -- C:\Program Files\Oodrive\WebSynchro\WS.WindowsService.exe -- (WebSynchroWindowsService)
SRV - [2011-07-21 08:46:32 | 000,294,400 | ---- | M] (Advanced Micro Devices, Inc.) [Disabled] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service)
SRV - [2011-07-21 05:09:40 | 000,176,128 | ---- | M] (AMD) [Disabled] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2011-06-04 00:44:32 | 000,224,680 | ---- | M] () [Disabled] -- C:\Windows\System32\AsusService.exe -- (AsusService)
SRV - [2011-06-02 23:11:06 | 000,064,128 | ---- | M] (ASUS) [Disabled] -- C:\Program Files\Common Files\InstantOn\InsOnSrv.exe -- (ASUS InstantOn)
SRV - [2011-05-14 00:27:02 | 001,492,840 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Program Files\Windows Live\Family Safety\fsssvc.exe -- (fsssvc)
SRV - [2011-03-29 05:31:14 | 001,713,536 | ---- | M] (Microsoft Corp.) [Disabled] -- C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE -- (wlidsvc)
SRV - [2011-03-25 18:55:16 | 000,091,464 | ---- | M] () [Disabled] -- C:\ExpressGateUtil\VAWinService.exe -- (VideAceWindowsService)
SRV - [2011-03-02 06:23:36 | 000,183,560 | ---- | M] (Microsoft Corporation.) [Disabled] -- C:\Program Files\Microsoft\BingBar\BBSvc.EXE -- (BBSvc)
SRV - [2011-02-25 19:46:22 | 000,249,648 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Program Files\Microsoft\BingBar\SeaPort.EXE -- (SeaPort)
SRV - [2011-02-19 08:30:54 | 000,805,376 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\FntCache.dll -- (FontCache)
SRV - [2010-11-20 14:21:36 | 000,351,232 | ---- | M] (Microsoft Corporation) [Disabled] -- winhttp.dll -- (WinHttpAutoProxySvc)
SRV - [2010-11-20 14:21:34 | 000,119,808 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\umpo.dll -- (Power)
SRV - [2010-11-20 14:21:26 | 000,053,760 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\sppuinotify.dll -- (sppuinotify)
SRV - [2010-11-20 14:20:58 | 000,165,376 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\provsvc.dll -- (HomeGroupProvider)
SRV - [2010-11-20 14:19:30 | 000,194,560 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\ListSvc.dll -- (HomeGroupListener)
SRV - [2010-11-20 14:18:32 | 000,254,464 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\dhcpcore.dll -- (Dhcp)
SRV - [2010-11-20 14:18:08 | 000,088,064 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\AxInstSv.dll -- (AxInstSV)
SRV - [2010-11-20 14:17:32 | 003,179,520 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\System32\sppsvc.exe -- (sppsvc)
SRV - [2010-09-23 01:33:04 | 000,051,040 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Program Files\Windows Live\Mesh\wlcrasvc.exe -- (wlcrasvc)
SRV - [2010-03-18 16:47:22 | 000,035,160 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe -- (aspnet_state)
SRV - [2010-03-18 14:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2010-03-18 14:16:28 | 000,124,240 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe -- (NetTcpPortSharing)
SRV - [2010-03-18 14:16:28 | 000,124,240 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe -- (NetTcpActivator)
SRV - [2010-03-18 14:16:28 | 000,124,240 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe -- (NetPipeActivator)
SRV - [2010-03-18 14:16:28 | 000,124,240 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe -- (NetMsmqActivator)
SRV - [2009-07-14 03:16:17 | 000,151,552 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\wbiosrvc.dll -- (WbioSrvc)
SRV - [2009-07-14 03:16:16 | 000,037,376 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\themeservice.dll -- (Themes)
SRV - [2009-07-14 03:16:13 | 000,043,520 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Windows\System32\RpcEpMap.dll -- (RpcEptMapper)
SRV - [2009-07-14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009-07-14 03:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\pnrpsvc.dll -- (PNRPsvc)
SRV - [2009-07-14 03:16:12 | 000,269,824 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\pnrpsvc.dll -- (p2pimsvc)
SRV - [2009-07-14 03:16:12 | 000,020,480 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\pnrpauto.dll -- (PNRPAutoReg)
SRV - [2009-07-14 03:15:10 | 000,218,624 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\defragsvc.dll -- (defragsvc)
SRV - [2009-07-14 03:14:59 | 000,076,800 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\bdesvc.dll -- (BDESVC)
SRV - [2009-07-14 03:14:53 | 000,027,648 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\Windows\System32\appidsvc.dll -- (AppIDSvc)

[color=#E56717]========== Driver Services (SafeList) ==========[/color]

DRV - [2013-05-21 10:34:59 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - [2013-05-20 16:00:33 | 000,015,616 | ---- | M] () [Kernel | On_Demand] -- C:\Windows\System32\drivers\TrueSight.sys -- (TrueSight)
DRV - [2012-08-21 13:01:22 | 000,026,840 | ---- | M] (GEAR Software Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV - [2012-07-09 13:42:56 | 000,044,032 | ---- | M] (Apple, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\usbaapl.sys -- (USBAAPL)
DRV - [2012-06-02 06:45:03 | 000,134,000 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\ksecpkg.sys -- (KSecPkg)
DRV - [2012-06-02 06:40:59 | 000,369,336 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\cng.sys -- (CNG)
DRV - [2012-04-12 10:12:37 | 000,611,520 | ---- | M] (BitDefender) [File_System | Boot] -- C:\Windows\System32\drivers\avc3.sys -- (avc3)
DRV - [2012-04-12 10:11:27 | 000,130,664 | ---- | M] (BitDefender LLC) [Kernel | System] -- C:\Program Files\Bitdefender\Bitdefender 2012\bdselfpr.sys -- (bdselfpr)
DRV - [2012-03-06 17:28:25 | 000,447,208 | ---- | M] (BitDefender) [File_System | On_Demand] -- C:\Windows\System32\drivers\avckf.sys -- (avckf)
DRV - [2012-03-01 07:46:57 | 000,019,824 | ---- | M] (Microsoft Corporation) [Recognizer | Boot] -- C:\Windows\System32\drivers\fs_rec.sys -- (Fs_Rec)
DRV - [2012-02-07 21:09:21 | 000,063,056 | ---- | M] (BitDefender SRL) [File_System | On_Demand] -- C:\Windows\System32\drivers\bdsandbox.sys -- (bdsandbox)
DRV - [2012-02-07 21:09:02 | 000,360,976 | ---- | M] (BitDefender) [File_System | Boot] -- C:\Windows\System32\drivers\bdfsfltr.sys -- (bdfsfltr)
DRV - [2012-01-23 20:35:44 | 000,240,184 | ---- | M] (BitDefender) [Kernel | On_Demand] -- C:\Windows\System32\drivers\avchv.sys -- (avchv)
DRV - [2011-12-27 03:52:53 | 000,090,704 | ---- | M] (BitDefender LLC) [Kernel | System] -- C:\Program Files\Common Files\Bitdefender\Bitdefender Firewall\bdfwfpf.sys -- (bdfwfpf)
DRV - [2011-12-27 03:52:47 | 000,074,832 | ---- | M] (BitDefender LLC) [Kernel | System] -- c:\program files\common files\bitdefender\bitdefender firewall\bdfndisf6.sys -- (BdfNdisf)
DRV - [2011-12-27 03:52:38 | 000,340,624 | ---- | M] (BitDefender S.R.L.) [File_System | Boot] -- C:\Windows\System32\drivers\trufos.sys -- (trufos)
DRV - [2011-07-21 07:39:23 | 007,811,072 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmdag.sys -- (amdkmdag)
DRV - [2011-07-21 04:33:12 | 000,245,760 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\atikmpag.sys -- (amdkmdap)
DRV - [2011-06-07 00:06:54 | 000,211,984 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand] -- C:\Windows\System32\drivers\AtihdW73.sys -- (AtiHDAudioService)
DRV - [2011-05-14 00:27:02 | 000,039,272 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\fssfltr.sys -- (fssfltr)
DRV - [2011-05-13 03:21:06 | 000,136,808 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssadmdm.sys -- (ssadmdm)
DRV - [2011-05-13 03:21:06 | 000,121,064 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssadbus.sys -- (ssadbus) SAMSUNG Android USB Composite Device driver (WDM)
DRV - [2011-05-13 03:21:06 | 000,114,280 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssadserd.sys -- (ssadserd) SAMSUNG Android USB Diagnostic Serial Port (WDM)
DRV - [2011-05-13 03:21:06 | 000,012,776 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssadmdfl.sys -- (ssadmdfl) SAMSUNG Android USB Modem (Filter)
DRV - [2011-05-13 03:21:04 | 000,030,312 | ---- | M] (Google Inc) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ssadadb.sys -- (androidusb)
DRV - [2011-03-11 07:39:00 | 000,143,744 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\nvstor.sys -- (nvstor)
DRV - [2011-03-11 07:39:00 | 000,117,120 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\nvraid.sys -- (nvraid)
DRV - [2011-03-11 07:38:51 | 000,332,160 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\iaStorV.sys -- (iaStorV)
DRV - [2011-03-11 07:38:37 | 000,080,256 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand] -- C:\windows\system32\drivers\amdsata.sys -- (amdsata)
DRV - [2011-03-11 07:38:37 | 000,022,400 | ---- | M] (Advanced Micro Devices) [Kernel | Boot] -- C:\Windows\System32\drivers\amdxata.sys -- (amdxata)
DRV - [2011-01-18 14:12:34 | 003,378,984 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\RTKVHDA.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2010-12-02 22:30:44 | 000,025,600 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\nx6000.sys -- (MSHUSBVideo)
DRV - [2010-11-24 18:12:54 | 004,247,616 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\BCMWL6.SYS -- (BCM43XX)
DRV - [2010-11-20 14:30:16 | 000,160,128 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\vhdmp.sys -- (vhdmp)
DRV - [2010-11-20 14:30:12 | 000,173,440 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\rdyboost.sys -- (rdyboost)
DRV - [2010-11-20 14:29:54 | 000,014,208 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\hwpolicy.sys -- (hwpolicy)
DRV - [2010-11-20 12:24:42 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010-11-20 12:24:42 | 000,027,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\TsUsbGD.sys -- (TsUsbGD)
DRV - [2010-11-20 12:01:14 | 000,164,864 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\1394ohci.sys -- (1394ohci)
DRV - [2010-11-20 11:59:46 | 000,080,768 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\USBAUDIO.sys -- (usbaudio) Pilote USB audio (WDM)
DRV - [2010-11-20 11:59:46 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010-11-20 11:50:22 | 000,031,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\CompositeBus.sys -- (CompositeBus)
DRV - [2010-11-20 11:29:50 | 000,050,176 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\appid.sys -- (AppID)
DRV - [2010-11-20 11:24:58 | 000,026,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\scfilter.sys -- (scfilter)
DRV - [2010-11-20 10:47:56 | 000,010,240 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\acpipmi.sys -- (AcpiPmi)
DRV - [2010-11-04 12:52:50 | 000,064,128 | ---- | M] (Advanced Micro Devices) [Kernel | Boot] -- C:\Windows\System32\drivers\amd_sata.sys -- (amd_sata)
DRV - [2010-11-04 12:52:50 | 000,032,384 | ---- | M] (Advanced Micro Devices) [Kernel | Boot] -- C:\Windows\System32\drivers\amd_xata.sys -- (amd_xata)
DRV - [2010-09-27 09:23:58 | 000,068,208 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\L1C62x86.sys -- (L1C)
DRV - [2010-08-03 07:20:56 | 000,011,832 | ---- | M] () [Kernel | System] -- C:\Windows\System32\drivers\AsUpIO.sys -- (AsUpIO)
DRV - [2010-07-21 07:34:28 | 000,102,912 | ---- | M] (ELAN Microelectronic Corp.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ETD.sys -- (ETD)
DRV - [2010-06-28 07:24:00 | 000,011,456 | ---- | M] () [Kernel | System] -- C:\Windows\System32\drivers\AsIO.sys -- (AsIO)
DRV - [2010-03-03 01:43:20 | 001,263,104 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2010-02-18 18:18:22 | 000,037,944 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand] -- C:\Windows\System32\drivers\amdiox86.sys -- (amdiox86)
DRV - [2010-01-19 20:32:40 | 000,085,128 | ---- | M] (BitDefender) [Kernel | System] -- C:\Windows\System32\drivers\bdvedisk.sys -- (BDVEDISK)
DRV - [2009-07-20 11:29:40 | 000,013,880 | ---- | M] ( ) [Kernel | On_Demand] -- C:\Windows\System32\drivers\kbfiltr.sys -- (kbfiltr)
DRV - [2009-07-14 03:26:21 | 000,015,952 | ---- | M] (CMD Technology, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\cmdide.sys -- (cmdide)
DRV - [2009-07-14 03:26:17 | 000,297,552 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\adpahci.sys -- (adpahci)
DRV - [2009-07-14 03:26:15 | 000,422,976 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\adp94xx.sys -- (adp94xx)
DRV - [2009-07-14 03:26:15 | 000,159,312 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\amdsbs.sys -- (amdsbs)
DRV - [2009-07-14 03:26:15 | 000,146,512 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\adpu320.sys -- (adpu320)
DRV - [2009-07-14 03:26:15 | 000,086,608 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\arcsas.sys -- (arcsas)
DRV - [2009-07-14 03:26:15 | 000,076,368 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\arc.sys -- (arc)
DRV - [2009-07-14 03:26:15 | 000,014,400 | ---- | M] (Acer Laboratories Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\aliide.sys -- (aliide)
DRV - [2009-07-14 03:20:44 | 000,044,624 | ---- | M] (IBM Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\nfrd960.sys -- (nfrd960)
DRV - [2009-07-14 03:20:37 | 000,089,168 | ---- | M] (LSI Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\lsi_sas.sys -- (LSI_SAS)
DRV - [2009-07-14 03:20:36 | 000,235,584 | ---- | M] (LSI Corporation, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\MegaSR.sys -- (MegaSR)
DRV - [2009-07-14 03:20:36 | 000,096,848 | ---- | M] (LSI Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\lsi_scsi.sys -- (LSI_SCSI)
DRV - [2009-07-14 03:20:36 | 000,095,824 | ---- | M] (LSI Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\lsi_fc.sys -- (LSI_FC)
DRV - [2009-07-14 03:20:36 | 000,054,864 | ---- | M] (LSI Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV - [2009-07-14 03:20:36 | 000,041,040 | ---- | M] (Intel Corp./ICP vortex GmbH) [Kernel | On_Demand] -- C:\windows\system32\drivers\iirsp.sys -- (iirsp)
DRV - [2009-07-14 03:20:36 | 000,030,800 | ---- | M] (LSI Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\megasas.sys -- (megasas)
DRV - [2009-07-14 03:20:28 | 000,453,712 | ---- | M] (Emulex) [Kernel | On_Demand] -- C:\windows\system32\drivers\elxstor.sys -- (elxstor)
DRV - [2009-07-14 03:20:28 | 000,070,720 | ---- | M] (Adaptec, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\djsvs.sys -- (aic78xx)
DRV - [2009-07-14 03:20:28 | 000,067,152 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand] -- C:\windows\system32\drivers\HpSAMD.sys -- (HpSAMD)
DRV - [2009-07-14 03:20:28 | 000,046,160 | ---- | M] (Microsoft Corporation) [File_System | On_Demand] -- C:\Windows\System32\drivers\fsdepends.sys -- (FsDepends)
DRV - [2009-07-14 03:19:11 | 000,141,904 | ---- | M] (VIA Technologies Inc.,Ltd) [Kernel | On_Demand] -- C:\windows\system32\drivers\vsmraid.sys -- (vsmraid)
DRV - [2009-07-14 03:19:10 | 000,032,832 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\vdrvroot.sys -- (vdrvroot)
DRV - [2009-07-14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand] -- C:\Windows\System32\drivers\wimmount.sys -- (WIMMount)
DRV - [2009-07-14 03:19:10 | 000,016,976 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\viaide.sys -- (viaide)
DRV - [2009-07-14 03:19:04 | 001,383,488 | ---- | M] (QLogic Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\ql2300.sys -- (ql2300)
DRV - [2009-07-14 03:19:04 | 000,106,064 | ---- | M] (QLogic Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\ql40xx.sys -- (ql40xx)
DRV - [2009-07-14 03:19:04 | 000,077,888 | ---- | M] (Silicon Integrated Systems) [Kernel | On_Demand] -- C:\windows\system32\drivers\sisraid4.sys -- (SiSRaid4)
DRV - [2009-07-14 03:19:04 | 000,043,088 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\Windows\System32\drivers\pcw.sys -- (pcw)
DRV - [2009-07-14 03:19:04 | 000,040,016 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand] -- C:\windows\system32\drivers\SiSRaid2.sys -- (SiSRaid2)
DRV - [2009-07-14 03:19:04 | 000,021,072 | ---- | M] (Promise Technology) [Kernel | On_Demand] -- C:\windows\system32\drivers\stexstor.sys -- (stexstor)
DRV - [2009-07-14 02:57:25 | 000,272,128 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand] -- C:\windows\System32\Drivers\Brserid.sys -- (Brserid) Brother MFC Serial Port Interface Driver (WDM)
DRV - [2009-07-14 02:02:41 | 000,018,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\rdpbus.sys -- (rdpbus)
DRV - [2009-07-14 02:01:41 | 000,007,168 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\Windows\System32\drivers\RDPREFMP.sys -- (RDPREFMP)
DRV - [2009-07-14 01:55:00 | 000,049,152 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\agilevpn.sys -- (RasAgileVpn) WAN Miniport (IKEv2)
DRV - [2009-07-14 01:53:51 | 000,009,728 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\Windows\System32\drivers\wfplwf.sys -- (WfpLwf)
DRV - [2009-07-14 01:52:44 | 000,027,136 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\ndiscap.sys -- (NdisCap)
DRV - [2009-07-14 01:52:04 | 000,048,128 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\Windows\System32\drivers\vwififlt.sys -- (vwififlt)
DRV - [2009-07-14 01:52:02 | 000,019,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\vwifibus.sys -- (vwifibus)
DRV - [2009-07-14 01:51:35 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\umpass.sys -- (UmPass)
DRV - [2009-07-14 01:51:08 | 000,004,096 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\System32\drivers\mshidkmdf.sys -- (mshidkmdf)
DRV - [2009-07-14 01:46:55 | 000,012,288 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\MTConfig.sys -- (MTConfig)
DRV - [2009-07-14 01:24:05 | 000,032,256 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\Windows\System32\drivers\discache.sys -- (discache)
DRV - [2009-07-14 01:19:21 | 000,021,504 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\HidBatt.sys -- (HidBatt)
DRV - [2009-07-14 01:11:04 | 000,052,736 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\amdppm.sys -- (AmdPPM)
DRV - [2009-07-14 00:54:14 | 000,026,624 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand] -- C:\windows\system32\drivers\hcw85cir.sys -- (hcw85cir)
DRV - [2009-07-14 00:53:33 | 000,012,160 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand] -- C:\windows\System32\Drivers\BrUsbMdm.sys -- (BrUsbMdm)
DRV - [2009-07-14 00:53:33 | 000,011,904 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand] -- C:\windows\System32\Drivers\BrUsbSer.sys -- (BrUsbSer)
DRV - [2009-07-14 00:53:32 | 000,062,336 | ---- | M] (Brother Industries Ltd.) [Kernel | On_Demand] -- C:\windows\System32\Drivers\BrSerWdm.sys -- (BrSerWdm)
DRV - [2009-07-14 00:53:28 | 000,013,568 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand] -- C:\windows\system32\drivers\BrFiltLo.sys -- (BrFiltLo)
DRV - [2009-07-14 00:53:28 | 000,005,248 | ---- | M] (Brother Industries, Ltd.) [Kernel | On_Demand] -- C:\windows\system32\drivers\BrFiltUp.sys -- (BrFiltUp)
DRV - [2009-07-14 00:02:49 | 000,229,888 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\b57nd60x.sys -- (b57nd60x)
DRV - [2009-07-14 00:02:48 | 003,100,160 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\evbdx.sys -- (ebdrv)
DRV - [2009-07-14 00:02:48 | 000,430,080 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\windows\system32\drivers\bxvbdx.sys -- (b06bdrv)
DRV - [2009-07-13 23:41:34 | 000,002,864 | ---- | M] (Microsoft Corporation) [Adapter | On_Demand] -- C:\Windows\System32\WINSOCK.DLL -- (Winsock)
DRV - [2009-07-13 22:50:20 | 000,020,480 | ---- | M] (Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) [Kernel | Auto] -- C:\Windows\System32\drivers\secdrv.sys -- (secdrv)
DRV - [2009-06-10 23:19:30 | 004,756,480 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\Windows\System32\drivers\igdkmd32.sys -- (igfx)

[color=#E56717]========== Standard Registry (SafeList) ==========[/color]

[color=#E56717]========== Internet Explorer ==========[/color]

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Derya_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://eeepc.asus.com [binary data]
IE - HKU\Derya_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?gws_rd=ssl
IE - HKU\Derya_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Derya_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

IE - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.malekal.com
IE - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = https://www.msn.com/fr-fr/
IE - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = hu
IE - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = D4 D9 FD B4 82 D5 CA 01 [binary data]
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2013-04-23 19:51:07 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 20.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKLM\software\mozilla\Thunderbird\Extensions\\bdThunderbird@bitdefender.com: C:\Program Files\Bitdefender\Bitdefender 2012\bdtbext\ [2011-12-27 04:33:55 | 000,000,000 | ---D | M]

[2013-03-08 23:18:01 | 000,000,000 | ---D | M] -- C:\Program Files\mozilla firefox\extensions
[2013-04-23 19:51:07 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2013-03-05 00:20:20 | 000,001,609 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazon-france.xml
[2013-03-05 00:20:20 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2013-03-05 00:20:20 | 000,002,035 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\cnrtl-tlfi-fr.xml
[2013-03-05 00:20:20 | 000,001,472 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-france.xml
[2013-03-05 00:20:20 | 000,001,399 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-fr.xml
[2013-03-05 00:20:20 | 000,001,169 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-france.xml

O1 HOSTS File: ([2010-12-23 21:08:04 | 000,000,780 | R-S- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC)
O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware (cleanup)] File not found
O4 - HKU\LocalService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\NetworkService_ON_C..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\Derya_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSimpleStartMenu = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecycleFiles = 0
O9 - Extra Button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000009 [] - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL (Microsoft Corp.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000010 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 172.16.0.1
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.dll (Microsoft Corporation)
O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)
O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found.
O30 - LSA: Security Packages - (pku2u) - C:\windows\System32\pku2u.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (livessp) - C:\windows\System32\livessp.dll (Microsoft Corp.)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009-06-10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{73b594b7-2fdc-11e1-9906-5404a6325357}\Shell - "" = AutoRun
O33 - MountPoints2\{88b5fe8c-4e56-11e1-a87f-5404a6325357}\Shell - "" = AutoRun
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - comfile [open] -- "%1" %*
O35 - exefile [open] -- "%1" %*

[color=#E56717]========== Files/Folders - Created Within 30 Days ==========[/color]

[2013-05-21 17:49:56 | 000,000,000 | ---D | C] -- X:\Users\Default\Desktop\RK_Quarantine
[2013-05-21 10:34:59 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbamswissarmy.sys
[2013-05-20 16:00:23 | 000,000,000 | ---D | C] -- C:\Users\Derya\Desktop\RK_Quarantine
[2013-05-20 14:33:07 | 000,000,000 | ---D | C] -- C:\Pre_Scan
[2013-05-17 18:50:51 | 000,420,864 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\vbscript.dll
[2013-05-17 18:50:49 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\jsproxy.dll
[2013-05-17 18:50:48 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\ieui.dll
[2013-05-17 18:50:48 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\ieUnatt.exe
[2013-05-17 18:50:47 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\msfeeds.dll
[2013-05-17 18:50:46 | 000,717,824 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\jscript.dll
[2013-05-17 18:50:44 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\jscript9.dll
[2013-05-17 18:50:44 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\url.dll
[2013-05-17 18:50:41 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\inetcpl.cpl
[2013-05-17 18:39:39 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\mshtml.tlb
[2013-05-15 22:11:12 | 000,077,144 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\mcupdate_AuthenticAMD.dll
[2013-05-15 22:11:00 | 000,186,368 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\wwansvc.dll
[2013-05-15 22:11:00 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\wwanprotdim.dll
[2013-05-15 22:10:59 | 002,347,520 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\win32k.sys
[2013-05-15 22:10:47 | 000,218,984 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\drivers\dxgmms1.sys
[2013-05-15 22:10:35 | 001,796,096 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\authui.dll
[2013-05-15 22:10:35 | 000,101,720 | ---- | C] (Microsoft Corporation) -- C:\windows\System32\consent.exe
[2013-04-26 09:34:48 | 000,000,000 | ---D | C] -- C:\windows\AxInstSV
[2010-07-29 09:43:10 | 000,013,880 | ---- | C] ( ) -- C:\windows\System32\drivers\kbfiltr.sys

[color=#E56717]========== Files - Modified Within 30 Days ==========[/color]

[2013-05-21 17:48:52 | 000,001,744 | ---- | M] () -- X:\Users\Default\Desktop\Internet Explorer.lnk
[2013-05-21 17:48:52 | 000,001,663 | ---- | M] () -- X:\Users\Default\Desktop\PENetwork.lnk
[2013-05-21 17:48:52 | 000,001,560 | ---- | M] () -- X:\Users\Default\Desktop\Command Prompt.lnk
[2013-05-21 17:48:52 | 000,001,444 | ---- | M] () -- X:\Users\Default\Desktop\Explorer.lnk
[2013-05-21 17:48:52 | 000,000,620 | ---- | M] () -- X:\Users\Default\Desktop\Opera12.lnk
[2013-05-21 17:48:51 | 000,000,891 | ---- | M] () -- X:\Users\Default\Desktop\OTLPE.lnk
[2013-05-21 17:48:51 | 000,000,692 | ---- | M] () -- X:\Users\Default\Desktop\RogueKiller.lnk
[2013-05-21 17:47:22 | 000,067,584 | --S- | M] () -- C:\windows\bootstat.dat
[2013-05-21 17:46:55 | 1294,036,992 | -HS- | M] () -- C:\hiberfil.sys
[2013-05-21 12:56:49 | 000,009,920 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013-05-21 12:56:49 | 000,009,920 | -H-- | M] () -- C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013-05-21 10:34:59 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\windows\System32\drivers\mbamswissarmy.sys
[2013-05-20 18:58:07 | 000,000,006 | -H-- | M] () -- C:\windows\tasks\SA.DAT
[2013-05-20 17:49:02 | 000,001,002 | ---- | M] () -- C:\windows\tasks\Adobe Flash Player Updater.job
[2013-05-20 17:37:32 | 000,000,962 | ---- | M] () -- C:\Users\Derya\Desktop\Internet Explorer.lnk
[2013-05-20 16:00:33 | 000,015,616 | ---- | M] () -- C:\windows\System32\drivers\TrueSight.sys
[2013-05-20 15:56:51 | 000,000,376 | ---- | M] () -- C:\Users\Derya\AppData\Roamingprivacy.xml
[2013-05-20 14:32:29 | 001,692,470 | ---- | M] () -- C:\windows\System32\PerfStringBackup.INI
[2013-05-20 14:32:29 | 000,756,468 | ---- | M] () -- C:\windows\System32\perfh00C.dat
[2013-05-20 14:32:29 | 000,663,350 | ---- | M] () -- C:\windows\System32\perfh009.dat
[2013-05-20 14:32:29 | 000,152,326 | ---- | M] () -- C:\windows\System32\perfc00C.dat
[2013-05-20 14:32:29 | 000,124,622 | ---- | M] () -- C:\windows\System32\perfc009.dat
[2013-05-20 11:58:31 | 001,054,301 | ---- | M] () -- C:\Users\Derya\AppData\Local\2433f433
[2013-05-20 11:58:31 | 001,054,289 | ---- | M] () -- C:\Users\Derya\AppData\Roaming\2433f433
[2013-05-20 11:58:07 | 000,034,304 | ---- | M] () -- C:\Users\Derya\Documents\6dfbe980.dll
[2013-05-18 00:34:33 | 000,295,320 | ---- | M] () -- C:\windows\System32\FNTCACHE.DAT
[2013-05-18 00:29:55 | 001,330,925 | -H-- | M] () -- C:\Users\Derya\AppData\Local\IconCache.db
[2013-05-15 10:51:23 | 000,692,104 | ---- | M] (Adobe Systems Incorporated) -- C:\windows\System32\FlashPlayerApp.exe
[2013-05-15 10:51:23 | 000,071,048 | ---- | M] (Adobe Systems Incorporated) -- C:\windows\System32\FlashPlayerCPLApp.cpl
[2013-05-05 21:12:55 | 002,382,848 | ---- | M] (Microsoft Corporation) -- C:\windows\System32\mshtml.tlb

[color=#E56717]========== Files Created - No Company Name ==========[/color]

[2013-05-21 17:48:52 | 000,001,744 | ---- | C] () -- X:\Users\Default\Desktop\Internet Explorer.lnk
[2013-05-21 17:48:52 | 000,001,663 | ---- | C] () -- X:\Users\Default\Desktop\PENetwork.lnk
[2013-05-21 17:48:52 | 000,001,560 | ---- | C] () -- X:\Users\Default\Desktop\Command Prompt.lnk
[2013-05-21 17:48:52 | 000,001,444 | ---- | C] () -- X:\Users\Default\Desktop\Explorer.lnk
[2013-05-21 17:48:52 | 000,000,620 | ---- | C] () -- X:\Users\Default\Desktop\Opera12.lnk
[2013-05-21 17:48:51 | 000,000,891 | ---- | C] () -- X:\Users\Default\Desktop\OTLPE.lnk
[2013-05-21 17:48:51 | 000,000,692 | ---- | C] () -- X:\Users\Default\Desktop\RogueKiller.lnk
[2013-05-20 16:00:33 | 000,015,616 | ---- | C] () -- C:\windows\System32\drivers\TrueSight.sys
[2013-05-20 15:54:59 | 000,000,962 | ---- | C] () -- C:\Users\Derya\Desktop\Internet Explorer.lnk
[2013-05-20 11:58:31 | 001,054,301 | ---- | C] () -- C:\Users\Derya\AppData\Local\2433f433
[2013-05-20 11:58:31 | 001,054,289 | ---- | C] () -- C:\Users\Derya\AppData\Roaming\2433f433
[2013-05-20 11:58:06 | 000,034,304 | ---- | C] () -- C:\Users\Derya\Documents\6dfbe980.dll
[2011-12-18 15:59:41 | 000,005,576 | ---- | C] () -- C:\windows\Language.ini
[2011-09-14 19:35:29 | 000,025,616 | ---- | C] () -- C:\windows\AsAcpiSvrLang.ini
[2011-09-14 19:31:34 | 000,011,832 | ---- | C] () -- C:\windows\System32\drivers\AsUpIO.sys
[2011-09-14 19:31:32 | 000,011,456 | ---- | C] () -- C:\windows\System32\drivers\AsIO.sys
[2011-09-14 19:31:00 | 000,000,702 | ---- | C] () -- C:\windows\Reboot.ini
[2011-07-21 09:21:00 | 000,059,904 | ---- | C] () -- C:\windows\System32\OVDecode.dll
[2009-07-14 01:51:43 | 000,073,728 | ---- | C] () -- C:\windows\System32\BthpanContextHandler.dll
[2009-07-14 01:42:10 | 000,064,000 | ---- | C] () -- C:\windows\System32\BWContextHandler.dll

[color=#E56717]========== LOP Check ==========[/color]

[2012-12-03 01:52:46 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\Agence-Exclusive
[2011-09-14 19:56:17 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\ASUS WebStorage
[2011-12-27 03:23:32 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\Bitdefender
[2011-09-14 19:33:26 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\E-Cam
[2012-07-03 13:52:28 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\IDoser
[2012-11-25 19:38:49 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\MOVAVI
[2011-12-27 02:46:15 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\Oodrive
[2013-01-21 00:42:32 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\OpenCandy
[2012-09-04 09:22:30 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\OpenOffice.org
[2012-04-24 22:34:19 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\PhotoFiltre 7
[2011-12-27 03:15:18 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\QuickScan
[2013-01-21 00:47:36 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\TuneUp Software
[2012-03-17 22:33:38 | 000,000,000 | ---D | M] -- C:\Users\Derya\AppData\Roaming\Windows Live Writer
[2012-11-16 21:04:29 | 000,032,468 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT

[color=#E56717]========== Purity Check ==========[/color]

< End of report >

Réponse 3 / 14

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 mai 2013 à 21:24

OK passe un coup de RogueKiller sur ton PC mais ça devrait rouler :)

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 21:48

Je m'occupe de tout sa :)

Encore merci pour ton aide.

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 mai 2013 à 21:51

de rien :)

Réponse 4 / 14

The Deceiver Messages postés 238 Date d'inscription mardi 23 avril 2013 Statut Membre Dernière intervention 22 août 2014 61
20 mai 2013 à 18:41

Hello,

Avez vous accès au mode sans échec avec invite de commande ou l'ordinateur rédemarre dans ce mode ?

Réponse 5 / 14

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
20 mai 2013 à 18:49

Merci de m'aider, oui j'ai accès au mode sans échec sans problème.

Réponse 6 / 14

The Deceiver Messages postés 238 Date d'inscription mardi 23 avril 2013 Statut Membre Dernière intervention 22 août 2014 61
Modifié par The Deceiver le 20/05/2013 à 18:57

Dans l'invite de commande
Ecrivez "explorer.exe"
Vous devriez avoir votre menu bureau s'afficher .

Quels sont le logiciel antivirus et malwares installés sur votre ordinateur ?

Réponse 7 / 14

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
20 mai 2013 à 18:56

L'ordinateur viens de redémarrer. Mais sinon j'ai Malwarebytes.

Réponse 8 / 14

CDT MARCO Messages postés 4 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 20 mai 2013
20 mai 2013 à 18:58

Bonjour,
Regarde ma réponse (même chose sauf que j'avais le CD ROM avec la clé ou autre ça doit être pareil). NE PAS CHOISIR "REPARER".
Cé la 2ème fois que j'ai cela. J'ai 2 anti virus / "Anti-malware" et "Dr Web", très puissants, aussi j'ai désactivé l'un d'eux pour avoir accès à des sites étrangers (Presse) et c'est revenu.
Bon courage
Cordialement

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
20 mai 2013 à 19:23

Merci, mais quand je veut le restaurer sa redémarre avant que je puisse faire quoi que ce soit.

Réponse 9 / 14

The Deceiver Messages postés 238 Date d'inscription mardi 23 avril 2013 Statut Membre Dernière intervention 22 août 2014 61
Modifié par The Deceiver le 20/05/2013 à 19:09

L'ordinateur rédémarre après quelques minutes ?
#Pour essayer:
Dans l'invite de commande
Tapez "shutdown -a"
#Je pense que cela ne servira pas

Toujours dans le cmd
Tapez "cd C:\Program Files (x86)\Malwarebytes' Anti-Malware"
Tapez ensuite "mbam.exe"

Faite un scan complet

Je vais vous aider en attendant un contribueur sécurité

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
20 mai 2013 à 19:16

Le redémarrage est rapide.

Quand je tape shutdown -a sa me met : Le système n'étant pas en cours d'arrêt, il est impossible d'annuler l'arrêt du système. <1116>

Quand je tape : cd C:\Program Files (x86)\Malwarebytes' Anti-Malware" j'ai : Le chemin d'accès spécifié est introuvable.

The Deceiver Messages postés 238 Date d'inscription mardi 23 avril 2013 Statut Membre Dernière intervention 22 août 2014 61
Modifié par The Deceiver le 20/05/2013 à 19:22

Ou avez vous installé Malwaresbytes ?

Dans l'invite de commande

Tapez "msconfig"

Selectionnez "Démarrer en mode diagnostic" puis "Appliquez"

Dites moi si le pc rédémarre toujours

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
20 mai 2013 à 19:22

Je pense que je l'ai trouver, mais quand je tape mbam.exe il ne se passe rien. Du coup je l'ai refais et sa ma mis qu'il étais déjà en cour d'exécution alors que je suis toujours dans le cmd.

The Deceiver Messages postés 238 Date d'inscription mardi 23 avril 2013 Statut Membre Dernière intervention 22 août 2014 61
20 mai 2013 à 19:24

Faite la procédure précédante et essayez d'éxécuter mbam quand vous aurez rédemarrer

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
20 mai 2013 à 19:31

Quand j'applique le démarrage en mode diagnostique l'ordinateur ne redémarre pas mais la case "Démarrage sélectif" est automatiquement sélectionner sans que rien d'autre ne se passe. Dois-je le redémarrer moi même ?

Réponse 10 / 14

The Deceiver Messages postés 238 Date d'inscription mardi 23 avril 2013 Statut Membre Dernière intervention 22 août 2014 61
20 mai 2013 à 20:08

Sans faire de scan:
Le pc rédemarre quand même ?
#Regardez si le mode diagnostic est activé

Dans l'invite de commande
Tapez "taskmgr"

Dans services
Quels sont les services activés(il y en a beaucoup ?)

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
20 mai 2013 à 20:42

Dans "taskmgr" j'ai seulement Administrateur : "cmd.exe" au niveau des applications.
Sinon comme processus il y a : "cmd.exe", "conhost.exe", "csdss.exe", "ctfmon.exe", "taskmgr.exe", "winlogon.exe".

Sans faire de scan il ne se passe rien. je ne vois pas ou vérifier si le mode diagnostique est activé.

Et sinon en redémarrant avec F2 j'ai une sorte de zone de commande qui s'appelle Aptio Setup Utility, je ne sais pas si sa peut être utile.

The Deceiver Messages postés 238 Date d'inscription mardi 23 avril 2013 Statut Membre Dernière intervention 22 août 2014 61
20 mai 2013 à 21:03

Et dans les services ?(onglet service)

Aptio setup s'occupe du bios non ?

il n'y a plus de redémarrage ?

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
20 mai 2013 à 21:12

Je n'ai pas d'onglet service.

Oui c'est bien sa pour Aptio Setup.

Tant que je ne fait rien y a pas de redémarrage mais dès que je lance un exam sa reprend.

The Deceiver Messages postés 238 Date d'inscription mardi 23 avril 2013 Statut Membre Dernière intervention 22 août 2014 61
20 mai 2013 à 21:31

Même avec votre antivirus l'ordinateur redémarre ?

Je pense que ça se passe au niveau du registre mais j'ai vraiment pas envie de toucher à ça

Si un contribueur sécurité passe par là

Je vais continuer à vous aider.

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
20 mai 2013 à 21:35

J'ai pas l'impression que mon anti-virus empêche quoi que ce soit. Merci d'être aussi patient.

Réponse 11 / 14

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 21/05/2013 à 13:27

Salut,

C'est lequel que tu as ?

https://www.malekal.com/wp-content/uploads/Urausy_nouvelle_variante.png

https://www.malekal.com/wp-content/uploads/Reveton_Urausy_Skin.png

avec l'image grise : https://www.malekal.com/wp-content/uploads/Office_Central_Lutte_Criminalite_technologies_information_communication.png

sans image en haut : https://www.malekal.com/fichiers/spywares/Reveton_Office_Central_criminalite.png

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 13:31

Sa se rapproche plus du dernier mais une légère différence de présentation quand même.

Réponse 12 / 14

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 mai 2013 à 13:41

Plutôt comme comme cela j'imagine ?
https://www.botnets.fr/images/c/ce/Flimrans_FR_2013-05.png

Retourne en invite de commandes en mode sans échec.
Choisis la session infectée.

Je répète choisis la session infectée et pas une autre :
Choisis la session infectée.

Sur l'invite, tape ces commandes et valide par entrée
cd %APPDATA%
del /F *.exe
del /F *.dll

puis
cd %USERPROFILE%
cd Documents
del /F *.exe
del /F *.dll

Ensuite :

tape regedit

le registre s'ouvre

deplie avec les petits "+"

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

clique gauche sur winlogon

tableau de droite , supprime la valeur shell (doit y avoir cmd dedans, si c'est la variante dont je pense).

Ensuite, remonte l'arborescence à gauche pour avoir :

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVerson
\Run

Regarde à droite si tu as une clef avec des lettres à aléatoire, du style qcgce2mrvjq91kk1e7pnbb19m52fx
si oui, supprime cette clef (clic droit / supprimer).

ferme le registre, tape shutdown -r

Redémarre sur Windows et vois ce que cela donne.

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 13:51

Lorsque je met del /F *.exe sa me met qu'il est impossible de le trouver

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 mai 2013 à 13:53

quel est le message exact ?
Quel est le nom du fichier qu'il ne parvient pas à supprimer ?

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 13:55

Impossible de trouver C:\Users\Derya\AppData\Roaming\*.exe

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
Modifié par Malekal_morte- le 21/05/2013 à 13:57

ok continue.

~~

Tu peux confirmer si c'est bien cela : https://www.botnets.fr/images/c/ce/Flimrans_FR_2013-05.png

tu peux aussi confirmer que dans la clef shell tu as bien cmd

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 13:58

OK, oui c'est exactement celui la.

Réponse 13 / 14

cdt marco
21 mai 2013 à 14:37

Il te faut suivre la procédure détaillée de Malekal_morte.
En agissant rapidement (je ne reprends pas le détail expliqué), tu arrives sur la fenêtre windows où apparaît ton système d'exploitation, tu valides, puis sur la fenêtre suivante, tu as trois choix : Choisir "réinitialisé a partir d'un point donné", la bécane tourne juquà "terminé" et après tu redémarre, l'écran du virus a disparu;
j'ai fait un scan complet avec Dr Web par sécurité, mais comme le point de restauration est antérieur à l'apparition du virus, c'était un peu supperflu, mais dans la marine on dit : "trop fort n'a jamais manqué"
cordialement
Cdt Marco

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 14:42

Merci du conseil mais je galère a appliquer la méthode de Malekal_morte car je ne trouve pas les éléments a supprimer.

Réponse 14 / 14

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 mai 2013 à 18:09

Supprime :
C:\Users\Derya\AppData\Roaming\Agence-Exclusive
C:\Users\Derya\Documents\6dfbe980.dll

Redémarre sur Windows.

C'est vraiment bizarre que la clef shell ne pointe pas sur cmd.

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 18:22

Je supprime a partir d'ou ?

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 658
21 mai 2013 à 18:27

du CD Live, y a un poste de travail comme sur Windows.
Disque C => Dossiers Users => Derya => Appdata => Roaming/Documents et hop clic droit / delete/supprimer.

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 18:34

J'ai l'impression que c'est un miracle, j'ai finalement accès a ma session.

echo74 Messages postés 28 Date d'inscription lundi 20 mai 2013 Statut Membre Dernière intervention 21 mai 2013
21 mai 2013 à 19:09

Tout est régler, j'ai reconfigurer le démarrage normal et j'ai de nouveau accès à internet. Au passage sa a aussi résolut mon problème pour activer la wifi donc merci beaucoup, sans ton aide je pense que j'en aurais pas vu le bout.

Virus Police

14 réponses

Discussions similaires