Virus zeraoacess - C:\Program Files (x86)\Google\desktop

Mrduss Messages postés 10 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai attrapé moi aussi ce maudit virus.
je me suis inspiré de la méthode de Malekal Morte avec fClaude38 (19/08/2013) pour l'éradiquer avec Rogue Killer puis Malware anti rootkit.
RK a supprimé pas mal de choses mais a laissé zeroaccess que Mbar a détecté. cependant, Mbar n'arrive pas à s'en débarrasser et RK ne le trouve plus lors d'un scan.
Or, je sais qu'il est encore là car lorsque je vais dans C:\Program Files (x86)\Google\desktop et que je cherche à mettre le fichier install à la corbeille, ça plante mon ordi et explorer redémarre.

Si Malekal peut m'aider, s'il vous plaît, ça serait génial.
Bien sûr toute aide est bienvenue. Je compte sur vous, car j'ai épuisé toutes mes solutions.

cordialement
JM

17 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Donne le rapport RK et Malwarebytes Anti-Malware.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. Mrduss Messages postés 10 Statut Membre
     
    Waouh !!
    Quelle réactivité, merci.

    Voici le rapport :

    RogueKiller V8.6.6 _x64_ [Aug 19 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : JM [Droits d'admin]
    Mode : Suppression -- Date : 08/20/2013 19:13:34
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 1 ¤¤¤
    [ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" < [x] -> STOPPÉ

    ¤¤¤ Entrees de registre : 12 ¤¤¤
    [RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\?????????\?????????\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" >) -> SUPPRIMÉ
    [RUN][ZeroAccess] HKUS\S-1-5-21-1935447972-2533516424-1645277071-1000\[...]\Run : Google Update ("C:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\?????????\?????????\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" >) -> [0xc0000034] Unknown error
    [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\[...]\RunOnce : (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes' Anti-Malware (portable)\cleanup.dll",ProcessCleanupScript "C:\ProgramData\Malwarebytes' Anti-Malware (portable)" [x][7][x][-]) -> SUPPRIMÉ
    [SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ
    [SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" < [x]) -> [0x57] Paramètre incorrect.
    [SERVICE][ZeroAccess] HKLM\[...]\CS002\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [BROK VAL] HKCR\[...]\command : () -> CRÉÉ ("%1" %*)
    [HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable.
    [HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable.
    [HID SVC][Masqué de l'API] HKLM\[...]\CS002\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable.

    ¤¤¤ Tâches planifiées : 2 ¤¤¤
    [V2][SUSP PATH] {C4035E0F-9317-4711-B384-B25CA6D2CC1E} : C:\Users\JM\Desktop\kit.exe [x] -> SUPPRIMÉ
    [V2][SUSP PATH] {F26E2F9D-3360-45E0-B9E5-6D180B9F36C9} : C:\Users\JM\Desktop\kit.exe [x] -> SUPPRIMÉ

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    0.0.0.0 boxore.com
    0.0.0.0 www.boxore.com
    0.0.0.0 boxore.org
    0.0.0.0 www.boxore.org
    0.0.0.0 boxore.net
    0.0.0.0 www.boxore.net
    0.0.0.0 dlmanager.com
    0.0.0.0 www.dlmanager.com
    0.0.0.0 dlmanager.org
    0.0.0.0 www.dlmanager.org
    0.0.0.0 dlmanager.net
    0.0.0.0 www.dlmanager.net

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: WDC WD10EADS-65L5B1 ATA Device +++++
    --- User ---
    [MBR] 12944f9cae59062b6bc83b01b293b995
    [BSP] 44cadcaf095ae7c100f40f2db140e07e : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939537 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924378624 | Size: 14230 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_D_08202013_191334.txt >>
    RKreport[0]_S_08202013_191243.txt
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Le rapport Malwarebytes anti-rootkit aussi pour voir :)
    0
  4. Mrduss Messages postés 10 Statut Membre
     
    Le premier.....

    Malwarebytes Anti-Rootkit BETA 1.06.1.1005
    www.malwarebytes.org

    Database version: v2013.08.19.06

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 10.0.9200.16660
    JM :: BUREAU [administrator]

    20/08/2013 08:27:43
    mbar-log-2013-08-20 (08-27-43).txt

    Scan type: Quick scan
    Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
    Scan options disabled: PUP
    Objects scanned: 314619
    Time elapsed: 20 minute(s), 13 second(s)

    Memory Processes Detected: 0
    (No malicious items detected)

    Memory Modules Detected: 0
    (No malicious items detected)

    Registry Keys Detected: 2
    HKLM\SOFTWARE\Boxore (Adware.Boxore) -> Delete on reboot.
    HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\?etadpug (Trojan.Zaccess) -> Delete on reboot.

    Registry Values Detected: 3
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Google Update (Rootkit.0Access) -> Data: -> Delete on reboot.
    HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Google Update (Trojan.Zaccess) -> Data: -> Delete on reboot.
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ASSOCIATIONS|bak_application (Hijacker.Application) -> Data: http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s -> Delete on reboot.

    Registry Data Items Detected: 1
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ASSOCIATIONS|Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Replace on reboot.

    Folders Detected: 14
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\??? (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\??? (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\??? (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\L (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \... (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\??? (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\l (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u (Trojan.0Access) -> Delete on reboot.
    c:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.

    Files Detected: 11
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe (Rootkit.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\@ (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U\00000001.@ (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U\00000002.@ (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U\80000001.@ (Trojan.0Access) -> Delete on reboot.
    c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U\800000cb.@ (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\@ (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u\00000001.@ (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u\00000002.@ (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u\80000001.@ (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u\800000cb.@ (Trojan.0Access) -> Delete on reboot.

    Physical Sectors Detected: 0
    (No malicious items detected)

    (end)

    Le dernier....

    Malwarebytes Anti-Rootkit BETA 1.06.1.1005
    www.malwarebytes.org

    Database version: v2013.08.20.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 10.0.9200.16660
    JM :: BUREAU [administrator]

    20/08/2013 22:46:03
    mbar-log-2013-08-20 (22-46-03).txt

    Scan type: Quick scan
    Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
    Scan options disabled: PUP
    Objects scanned: 312694
    Time elapsed: 13 minute(s), 37 second(s)

    Memory Processes Detected: 0
    (No malicious items detected)

    Memory Modules Detected: 0
    (No malicious items detected)

    Registry Keys Detected: 0
    (No malicious items detected)

    Registry Values Detected: 0
    (No malicious items detected)

    Registry Data Items Detected: 0
    (No malicious items detected)

    Folders Detected: 3
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ (Trojan.0Access) -> Delete on reboot.
    c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \... (Trojan.0Access) -> Delete on reboot.
    c:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.

    Files Detected: 0
    (No malicious items detected)

    Physical Sectors Detected: 0
    (No malicious items detected)

    (end)

    Entre les deux, on a une répétition du dernier à chaque fois qu'on fait tourner Mbar
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Sauvegarde tes documents importants.
    A lire en entier.

    Désactive les logiciels de protection (Antivirus, Antispywares)
    En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

    ensuite :

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

    Eventuellement, installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
    Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
    et donne le lien ici :)

    Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

    Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

    Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
    Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.

    0
  7. Mrduss Messages postés 10 Statut Membre
     
    ComboFix 13-08-20.01 - JM 21/08/2013 17:32:10.1.4 - x64
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.6143.3585 [GMT 2:00]
    Lancé depuis: c:\users\JM\Desktop\ComboFix.exe
    AV: Symantec Endpoint Protection *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
    SP: Symantec Endpoint Protection *Disabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
    SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    C:\install.exe
    c:\windows\PFRO.log
    c:\windows\Tab16d20.dll
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2013-07-21 au 2013-08-21 ))))))))))))))))))))))))))))))))))))
    .
    .
    2013-08-20 19:31 . 2013-08-20 19:35 -------- d-----w- C:\AdwCleaner
    2013-08-20 17:21 . 2013-08-21 12:22 -------- d-----w- c:\users\JM\AppData\Local\CrashDumps
    2013-08-20 06:27 . 2013-08-20 20:09 36680 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
    2013-08-19 16:59 . 2013-08-19 17:04 -------- d-----w- c:\users\JM\AppData\Local\NPE
    2013-08-06 07:54 . 2013-08-06 07:54 -------- d-----w- C:\Exploitation
    2013-07-26 11:51 . 2000-05-22 13:58 608448 ----a-w- c:\windows\SysWow64\comctl32.ocx
    2013-07-26 10:34 . 2013-07-26 10:39 -------- d-----w- c:\users\JM\AppData\Roaming\vlc
    2013-07-23 08:37 . 2013-07-23 08:37 174200 ----a-w- c:\windows\system32\drivers\SYMEVENT64x86.SYS
    2013-07-23 08:37 . 2013-07-23 08:37 -------- d-----w- c:\program files\Symantec
    2013-07-23 08:37 . 2013-07-23 08:37 -------- d-----w- c:\program files\Common Files\Symantec Shared
    2013-07-23 08:36 . 2013-07-23 08:36 58288 ----a-w- c:\windows\SysWow64\snacnp.dll
    2013-07-23 08:36 . 2013-07-23 08:36 58288 ----a-w- c:\windows\system32\snacnp.dll
    2013-07-23 08:36 . 2013-07-23 08:36 42632 ----a-w- c:\windows\system32\drivers\WGX64.SYS
    2013-07-23 08:36 . 2013-07-23 08:36 287152 ----a-w- c:\windows\system32\SymVPN.dll
    2013-07-23 08:36 . 2013-07-23 08:36 102832 ----a-w- c:\windows\SysWow64\FwsVpn.dll
    2013-07-23 08:36 . 2013-07-23 08:36 -------- d-----w- c:\windows\system32\drivers\SEP
    2013-07-23 08:16 . 2013-07-23 08:16 -------- d-s---w- c:\windows\SysWow64\Microsoft
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2013-08-21 08:04 . 2012-06-05 10:48 692104 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
    2013-08-21 08:04 . 2011-06-20 07:50 71048 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
    2013-08-15 01:01 . 2010-01-02 13:30 78161360 ----a-w- c:\windows\system32\MRT.exe
    2013-07-09 04:45 . 2013-08-14 02:57 44032 ----a-w- c:\windows\apppatch\acwow64.dll
    2013-07-02 08:34 . 2013-07-20 07:02 9460976 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{395A534F-FFDF-4964-95EE-18340082296A}\mpengine.dll
    2013-06-22 01:05 . 2013-06-22 01:05 97280 ----a-w- c:\windows\system32\mshtmled.dll
    2013-06-22 01:05 . 2013-06-22 01:05 92160 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
    2013-06-22 01:05 . 2013-06-22 01:05 905728 ----a-w- c:\windows\system32\mshtmlmedia.dll
    2013-06-22 01:05 . 2013-06-22 01:05 81408 ----a-w- c:\windows\system32\icardie.dll
    2013-06-22 01:05 . 2013-06-22 01:05 762368 ----a-w- c:\windows\system32\ieapfltr.dll
    2013-06-22 01:05 . 2013-06-22 01:05 73728 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
    2013-06-22 01:05 . 2013-06-22 01:05 719360 ----a-w- c:\windows\SysWow64\mshtmlmedia.dll
    2013-06-22 01:05 . 2013-06-22 01:05 62976 ----a-w- c:\windows\system32\pngfilt.dll
    2013-06-22 01:05 . 2013-06-22 01:05 61952 ----a-w- c:\windows\SysWow64\tdc.ocx
    2013-06-22 01:05 . 2013-06-22 01:05 599552 ----a-w- c:\windows\system32\vbscript.dll
    2013-06-22 01:05 . 2013-06-22 01:05 523264 ----a-w- c:\windows\SysWow64\vbscript.dll
    2013-06-22 01:05 . 2013-06-22 01:05 52224 ----a-w- c:\windows\system32\msfeedsbs.dll
    2013-06-22 01:05 . 2013-06-22 01:05 51200 ----a-w- c:\windows\system32\imgutil.dll
    2013-06-22 01:05 . 2013-06-22 01:05 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
    2013-06-22 01:05 . 2013-06-22 01:05 48640 ----a-w- c:\windows\system32\mshtmler.dll
    2013-06-22 01:05 . 2013-06-22 01:05 452096 ----a-w- c:\windows\system32\dxtmsft.dll
    2013-06-22 01:05 . 2013-06-22 01:05 441856 ----a-w- c:\windows\system32\html.iec
    2013-06-22 01:05 . 2013-06-22 01:05 38400 ----a-w- c:\windows\SysWow64\imgutil.dll
    2013-06-22 01:05 . 2013-06-22 01:05 361984 ----a-w- c:\windows\SysWow64\html.iec
    2013-06-22 01:05 . 2013-06-22 01:05 281600 ----a-w- c:\windows\system32\dxtrans.dll
    2013-06-22 01:05 . 2013-06-22 01:05 27648 ----a-w- c:\windows\system32\licmgr10.dll
    2013-06-22 01:05 . 2013-06-22 01:05 270848 ----a-w- c:\windows\system32\iedkcs32.dll
    2013-06-22 01:05 . 2013-06-22 01:05 247296 ----a-w- c:\windows\system32\webcheck.dll
    2013-06-22 01:05 . 2013-06-22 01:05 235008 ----a-w- c:\windows\system32\url.dll
    2013-06-22 01:05 . 2013-06-22 01:05 23040 ----a-w- c:\windows\SysWow64\licmgr10.dll
    2013-06-22 01:05 . 2013-06-22 01:05 226304 ----a-w- c:\windows\system32\elshyph.dll
    2013-06-22 01:05 . 2013-06-22 01:05 216064 ----a-w- c:\windows\system32\msls31.dll
    2013-06-22 01:05 . 2013-06-22 01:05 197120 ----a-w- c:\windows\system32\msrating.dll
    2013-06-22 01:05 . 2013-06-22 01:05 185344 ----a-w- c:\windows\SysWow64\elshyph.dll
    2013-06-22 01:05 . 2013-06-22 01:05 173568 ----a-w- c:\windows\system32\ieUnatt.exe
    2013-06-22 01:05 . 2013-06-22 01:05 167424 ----a-w- c:\windows\system32\iexpress.exe
    2013-06-22 01:05 . 2013-06-22 01:05 158720 ----a-w- c:\windows\SysWow64\msls31.dll
    2013-06-22 01:05 . 2013-06-22 01:05 1509376 ----a-w- c:\windows\system32\inetcpl.cpl
    2013-06-22 01:05 . 2013-06-22 01:05 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
    2013-06-22 01:05 . 2013-06-22 01:05 149504 ----a-w- c:\windows\system32\occache.dll
    2013-06-22 01:05 . 2013-06-22 01:05 144896 ----a-w- c:\windows\system32\wextract.exe
    2013-06-22 01:05 . 2013-06-22 01:05 1441280 ----a-w- c:\windows\SysWow64\inetcpl.cpl
    2013-06-22 01:05 . 2013-06-22 01:05 1400416 ----a-w- c:\windows\system32\ieapfltr.dat
    2013-06-22 01:05 . 2013-06-22 01:05 138752 ----a-w- c:\windows\SysWow64\wextract.exe
    2013-06-22 01:05 . 2013-06-22 01:05 13824 ----a-w- c:\windows\system32\mshta.exe
    2013-06-22 01:05 . 2013-06-22 01:05 137216 ----a-w- c:\windows\SysWow64\ieUnatt.exe
    2013-06-22 01:05 . 2013-06-22 01:05 136192 ----a-w- c:\windows\system32\iepeers.dll
    2013-06-22 01:05 . 2013-06-22 01:05 135680 ----a-w- c:\windows\system32\IEAdvpack.dll
    2013-06-22 01:05 . 2013-06-22 01:05 12800 ----a-w- c:\windows\SysWow64\mshta.exe
    2013-06-22 01:05 . 2013-06-22 01:05 12800 ----a-w- c:\windows\system32\msfeedssync.exe
    2013-06-22 01:05 . 2013-06-22 01:05 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
    2013-06-22 01:05 . 2013-06-22 01:05 1054720 ----a-w- c:\windows\system32\MsSpellCheckingFacility.exe
    2013-06-22 01:05 . 2013-06-22 01:05 102912 ----a-w- c:\windows\system32\inseng.dll
    2013-06-22 01:05 . 2013-06-22 01:05 77312 ----a-w- c:\windows\system32\tdc.ocx
    2013-06-22 01:04 . 2013-06-22 01:04 9728 ---ha-w- c:\windows\SysWow64\api-ms-win-downlevel-shlwapi-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 9728 ---ha-w- c:\windows\system32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 648192 ----a-w- c:\windows\system32\d3d10level9.dll
    2013-06-22 01:04 . 2013-06-22 01:04 604160 ----a-w- c:\windows\SysWow64\d3d10level9.dll
    2013-06-22 01:04 . 2013-06-22 01:04 5632 ---ha-w- c:\windows\SysWow64\api-ms-win-downlevel-shlwapi-l2-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 5632 ---ha-w- c:\windows\SysWow64\api-ms-win-downlevel-ole32-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 5632 ---ha-w- c:\windows\system32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 5632 ---ha-w- c:\windows\system32\api-ms-win-downlevel-ole32-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 522752 ----a-w- c:\windows\system32\XpsGdiConverter.dll
    2013-06-22 01:04 . 2013-06-22 01:04 465920 ----a-w- c:\windows\system32\WMPhoto.dll
    2013-06-22 01:04 . 2013-06-22 01:04 417792 ----a-w- c:\windows\SysWow64\WMPhoto.dll
    2013-06-22 01:04 . 2013-06-22 01:04 4096 ---ha-w- c:\windows\SysWow64\api-ms-win-downlevel-user32-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 4096 ---ha-w- c:\windows\system32\api-ms-win-downlevel-user32-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 3928064 ----a-w- c:\windows\system32\d2d1.dll
    2013-06-22 01:04 . 2013-06-22 01:04 364544 ----a-w- c:\windows\SysWow64\XpsGdiConverter.dll
    2013-06-22 01:04 . 2013-06-22 01:04 363008 ----a-w- c:\windows\system32\dxgi.dll
    2013-06-22 01:04 . 2013-06-22 01:04 3584 ---ha-w- c:\windows\SysWow64\api-ms-win-downlevel-advapi32-l2-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 3584 ---ha-w- c:\windows\system32\api-ms-win-downlevel-advapi32-l2-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 3419136 ----a-w- c:\windows\SysWow64\d2d1.dll
    2013-06-22 01:04 . 2013-06-22 01:04 333312 ----a-w- c:\windows\system32\d3d10_1core.dll
    2013-06-22 01:04 . 2013-06-22 01:04 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-downlevel-version-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 3072 ---ha-w- c:\windows\SysWow64\api-ms-win-downlevel-shell32-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 3072 ---ha-w- c:\windows\system32\api-ms-win-downlevel-version-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 3072 ---ha-w- c:\windows\system32\api-ms-win-downlevel-shell32-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 296960 ----a-w- c:\windows\system32\d3d10core.dll
    2013-06-22 01:04 . 2013-06-22 01:04 293376 ----a-w- c:\windows\SysWow64\dxgi.dll
    2013-06-22 01:04 . 2013-06-22 01:04 2776576 ----a-w- c:\windows\system32\msmpeg2vdec.dll
    2013-06-22 01:04 . 2013-06-22 01:04 2565120 ----a-w- c:\windows\system32\d3d10warp.dll
    2013-06-22 01:04 . 2013-06-22 01:04 2560 ---ha-w- c:\windows\SysWow64\api-ms-win-downlevel-normaliz-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 2560 ---ha-w- c:\windows\system32\api-ms-win-downlevel-normaliz-l1-1-0.dll
    2013-06-22 01:04 . 2013-06-22 01:04 249856 ----a-w- c:\windows\SysWow64\d3d10_1core.dll
    2013-06-22 01:04 . 2013-06-22 01:04 245248 ----a-w- c:\windows\system32\WindowsCodecsExt.dll
    2013-06-22 01:04 . 2013-06-22 01:04 2284544 ----a-w- c:\windows\SysWow64\msmpeg2vdec.dll
    2013-06-22 01:04 . 2013-06-22 01:04 221184 ----a-w- c:\windows\system32\UIAnimation.dll
    2013-06-22 01:04 . 2013-06-22 01:04 220160 ----a-w- c:\windows\SysWow64\d3d10core.dll
    2013-06-22 01:04 . 2013-06-22 01:04 207872 ----a-w- c:\windows\SysWow64\WindowsCodecsExt.dll
    2013-06-22 01:04 . 2013-06-22 01:04 1988096 ----a-w- c:\windows\SysWow64\d3d10warp.dll
    2013-06-22 01:04 . 2013-06-22 01:04 194560 ----a-w- c:\windows\system32\d3d10_1.dll
    2013-06-22 01:04 . 2013-06-22 01:04 187392 ----a-w- c:\windows\SysWow64\UIAnimation.dll
    2013-06-22 01:04 . 2013-06-22 01:04 1682432 ----a-w- c:\windows\system32\XpsPrint.dll
    2013-06-22 01:04 . 2013-06-22 01:04 161792 ----a-w- c:\windows\SysWow64\d3d10_1.dll
    2013-06-22 01:04 . 2013-06-22 01:04 1238528 ----a-w- c:\windows\system32\d3d10.dll
    2013-06-22 01:04 . 2013-06-22 01:04 1175552 ----a-w- c:\windows\system32\FntCache.dll
    2013-06-22 01:04 . 2013-06-22 01:04 1158144 ----a-w- c:\windows\SysWow64\XpsPrint.dll
    2013-06-22 01:04 . 2013-06-22 01:04 1080832 ----a-w- c:\windows\SysWow64\d3d10.dll
    2013-06-22 01:04 . 2013-06-22 01:04 10752 ---ha-w- c:\windows\SysWow64\api-ms-win-downlevel-advapi32-l1-1-0.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
    @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
    2013-05-25 00:36 130736 ----a-w- c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
    @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
    2013-05-25 00:36 130736 ----a-w- c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
    @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
    2013-05-25 00:36 130736 ----a-w- c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
    @="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
    2013-05-25 00:36 130736 ----a-w- c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Clavier+"="c:\users\JM\AppData\Local\Clavier+\Clavier.exe" [2011-04-17 104960]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "4623 Scan2PC"="c:\windows\twain_32\Samsung\SCX4623\Scan2Pc.exe" [2009-09-10 1968640]
    "SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
    "Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-08-14 614400]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
    "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2013-05-31 152392]
    .
    c:\users\JM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    Dropbox.lnk - c:\users\JM\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2013-5-25 27776968]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    "PromptOnSecureDesktop"= 0 (0x0)
    "SoftwareSASGeneration"= 1 (0x1)
    .
    [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
    "LoadAppInit_DLLs"=1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run-]
    "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    "TkBellExe"="c:\program files (x86)\Real\RealPlayer\update\realsched.exe" -osboot
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001
    .
    R1 SBRE;SBRE;c:\windows\system32\drivers\SBREdrv.sys;c:\windows\SYSNATIVE\drivers\SBREdrv.sys [x]
    R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
    R2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
    R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [x]
    R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys;c:\windows\SYSNATIVE\DRIVERS\ssudbus.sys [x]
    R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys;c:\windows\SYSNATIVE\drivers\massfilter.sys [x]
    R3 mbamchameleon;mbamchameleon;c:\windows\system32\drivers\mbamchameleon.sys;c:\windows\SYSNATIVE\drivers\mbamchameleon.sys [x]
    R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys;c:\windows\SYSNATIVE\drivers\mbam.sys [x]
    R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
    R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
    R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys;c:\windows\SYSNATIVE\DRIVERS\RTL8192su.sys [x]
    R3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys;c:\windows\SYSNATIVE\DRIVERS\ssudmdm.sys [x]
    R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
    R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys;c:\windows\SYSNATIVE\Drivers\usbaapl64.sys [x]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
    R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys;c:\windows\SYSNATIVE\DRIVERS\ZTEusbnet.sys [x]
    R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys;c:\windows\SYSNATIVE\DRIVERS\ZTEusbvoice.sys [x]
    R4 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe;c:\windows\SYSNATIVE\svchost.exe [x]
    R4 Freemake Improver;Freemake Improver;c:\programdata\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe;c:\programdata\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [x]
    R4 Samsung Network Fax Server;Samsung Network Fax Server;c:\windows\system32\spool\drivers\x64\3\NetFaxServer64.exe;c:\windows\SYSNATIVE\spool\drivers\x64\3\NetFaxServer64.exe [x]
    S0 SymDS;Symantec Data Store;c:\windows\system32\Drivers\SEP\0C01029F\136B.105\x64\SYMDS64.SYS;c:\windows\SYSNATIVE\Drivers\SEP\0C01029F\136B.105\x64\SYMDS64.SYS [x]
    S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\Drivers\SEP\0C01029F\136B.105\x64\SYMEFA64.SYS;c:\windows\SYSNATIVE\Drivers\SEP\0C01029F\136B.105\x64\SYMEFA64.SYS [x]
    S1 aswKbd;aswKbd; [x]
    S1 BHDrvx64;BHDrvx64;c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\Definitions\BASHDefs\20130716.011\BHDrvx64.sys;c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\Definitions\BASHDefs\20130716.011\BHDrvx64.sys [x]
    S1 IDSVia64;IDSVia64;c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\Definitions\IPSDefs\20130816.001\IDSvia64.sys;c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\Definitions\IPSDefs\20130816.001\IDSvia64.sys [x]
    S1 SymIRON;Symantec Iron Driver;c:\windows\system32\Drivers\SEP\0C01029F\136B.105\x64\Ironx64.SYS;c:\windows\SYSNATIVE\Drivers\SEP\0C01029F\136B.105\x64\Ironx64.SYS [x]
    S1 SYMNETS;Symantec Network Security WFP Driver;c:\windows\system32\Drivers\SEP\0C01029F\136B.105\x64\SYMNETS.SYS;c:\windows\SYSNATIVE\Drivers\SEP\0C01029F\136B.105\x64\SYMNETS.SYS [x]
    S2 DLSDB;Dell Printer Status Database;c:\program files\Dell Printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE;c:\program files\Dell Printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE [x]
    S2 LMIGuardianSvc;LMIGuardianSvc;c:\program files (x86)\LogMeIn\x64\LMIGuardianSvc.exe;c:\program files (x86)\LogMeIn\x64\LMIGuardianSvc.exe [x]
    S2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files (x86)\LogMeIn\x64\RaInfo.sys;c:\program files (x86)\LogMeIn\x64\RaInfo.sys [x]
    S2 SepMasterService;Symantec Endpoint Protection;c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\ccSvcHst.exe;c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\ccSvcHst.exe [x]
    S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys;c:\windows\SYSNATIVE\Drivers\SSPORT.sys [x]
    S2 TeamViewer8;TeamViewer 8;c:\program files (x86)\TeamViewer\Version8\TeamViewer_Service.exe;c:\program files (x86)\TeamViewer\Version8\TeamViewer_Service.exe [x]
    S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [x]
    .
    .
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
    ezSharedSvc
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2013-08-21 c:\windows\Tasks\Adobe Flash Player Updater.job
    - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-05 08:04]
    .
    2013-08-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-29 07:24]
    .
    2013-08-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-29 07:24]
    .
    2013-07-29 c:\windows\Tasks\HPCeeScheduleForJM.job
    - c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2009-10-07 03:22]
    .
    2013-07-31 c:\windows\Tasks\PCDRScheduledMaintenance.job
    - c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2009-06-10 11:04]
    .
    .
    --------- X64 Entries -----------
    .
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
    @="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
    2013-05-25 00:36 164016 ----a-w- c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
    @="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
    2013-05-25 00:36 164016 ----a-w- c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
    @="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
    2013-05-25 00:36 164016 ----a-w- c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
    @="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
    [HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
    2013-05-25 00:36 164016 ----a-w- c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "LogMeIn GUI"="c:\program files (x86)\LogMeIn\x64\LogMeInSystray.exe" [2008-08-11 57928]
    "AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2013-06-03 472984]
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.sfr.fr/fr/adsl.jsp
    uLocal Page = c:\windows\system32\blank.htm
    mLocal Page = c:\windows\SysWOW64\blank.htm
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
    Trusted Zone: creditmutuel.fr\www
    TCP: DhcpNameServer = 192.168.1.1
    TCP: Interfaces\{D157BE18-92BC-4B1A-9896-28ADF2D43B5A}: DhcpNameServer = 109.0.66.10 109.0.66.20
    TCP: Interfaces\{D157BE18-92BC-4B1A-9896-28ADF2D43B5A}\356425027596649602055726C69636: DhcpNameServer = 109.0.66.10 109.0.66.20
    DPF: {0FADB9AA-6955-4319-B538-BB1461E11A28} - hxxps://www.ntrconnect.com/main/mod/setup/beta/ntrplugin1242v_2.cab
    FF - ProfilePath - c:\users\JM\AppData\Roaming\Mozilla\Firefox\Profiles\02b7apr3.default\
    FF - ExtSQL: 2013-06-25 16:48; ffxtlbr@delta.com; c:\users\JM\AppData\Roaming\Mozilla\Firefox\Profiles\02b7apr3.default\extensions\ffxtlbr@delta.com
    FF - ExtSQL: 2013-08-20 20:54; {BBDA0591-3099-440a-AA10-41764D9DB4DB}; c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\IPSFFPlgn
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-10 - (no file)
    Wow6432Node-HKU-Default-RunOnce-SPReview - c:\windows\System32\SPReview\SPReview.exe
    Notify-SEP - c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\WinLogoutNotifier.dll
    HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
    Toolbar-10 - (no file)
    AddRemove-OptifOrm2 - c:\optiform web\WDUNINST.EXE
    AddRemove-{B60DCA15-56A3-4D2D-8747-22CF7D7B588B} - c:\program files (x86)\InstallShield Installation Information\{B60DCA15-56A3-4D2D-8747-22CF7D7B588B}\setup.exe
    AddRemove-{C611CF88-969D-43E6-A877-D6D6439DD081} - c:\programdata\{ADCBF7A8-716E-4B21-AF03-E3F11C06C309}\HP_Remote_Solution_Install.exe
    .
    .
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SepMasterService]
    "ImagePath"="\"c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\ccSvcHst.exe\" /s \"Symantec Endpoint Protection\" /m \"c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\sms.dll\" /prefetch:1"
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    file::
    c:\program files (x86)\google\


    Enregistre ce fichier sous le nom CFScript

    [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

    [*]Combofix se lance, laisse toi guider..

    [*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    [*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.

    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Je pense que ZeroAccess a été désactivé.
    La clef Run a été virée par ZeroAccess ainsi que le service.

    Ca doit être le dossier qui est difficilement supprimable à cause du "trick" (les ??).

    Essaye avec GMER : https://www.malekal.com/tutorial-gmer/
    onglet file si disponible
    de virer le dossier Google de program files (x86)
    0
  10. Mrduss Messages postés 10 Statut Membre
     
    Ok,

    Le temps de lire le tuto ce soir chez moi et je fais ça dès demain matin.
    Je poste le résultat obtenu dès que possible.
    Bonne soirée.
    0
  11. Mrduss Messages postés 10 Statut Membre
     
    Bonjour,

    Commande "delete" Gmer inefficace.
    j'ai, à tout hasard, lancé un scan avec Gmer et mon ordi a planté (extinction de l'ordinateur pour eviter un crash massif (ou quelque chose comme ça).

    Je n'ai pas osé relancer un scan Gmer.

    Du coup, j'ai remarqué lors du redémarrage, que mon ordinateur que je laisse d'habitude tourner quasiment 24h/24 était très lent à redémarrer (5 minutes environ). Un rapport avec le virus ?

    Qu'est ce que je dois faire ?

    bonne journée.
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    han je pensais que le driver de gmer marchait sur 64 bits :)

    bon je viens de vérifier et effectivement le dossier reste après désactivation de ZeroAccess.
    On est bien dans le cas que je dis plus haut, donc c'est pas "très" grave si le dossier reste.



    J'ai essayé unlocker et il est capable de virer le fichier.
    Par contre, faut désactiver la corbeille avant, parce que sinon ça fout le fichier dans la corbeille et après impossible de s'en débarrasser.

    Unlocker : https://www.clubic.com/telecharger-fiche20237-unlocker.html

    Attention, cocher advanced durant l'installation d'unlocker et décocher tout, sinon ça va te foutre le programme parasite delta.

    Désactive bien la corbeille pour le disque C avant.
    Clic droit sur la corbeille, ne pas déplacer etc.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  13. Mrduss Messages postés 10 Statut Membre
     
    J'ai fait une erreur et j'ai bien désactivé la poubelle, mais pour le disque D de recovery de HP.
    Du coup, le fichier est allé dans la corbeille de mon bureau !!
    Cependant, je l'ai vidée et maintenant, elle apparait vide.
    le fichier a bien disparu de son emplacement initial.
    Ce serait donc bon ? si la poubelle est vide il ne peut pas s'être caché ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      si tu n'as plus le dossier google, oui ça doit.
      Fais un scan MBAR pour voir s'il arrete de détecter le dossier en question :)
      0
  14. Mrduss Messages postés 10 Statut Membre
     
    Pardon pour le délai, j'étais en clientèle....

    Comme le dit Mbar

    Congratulations, No malware found !
    (:-), (:-), (:-)

    simplement génial, merci beaucoup.

    Petite question, c'est combien les us et coutumes pour la contrib paypal ?

    Et si je peux abuser, quid de la lenteur de mon PC à l'ouverture (j'ai déjà mis un minimum de taches ouvertes au démarrage) ?
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu n'es pas obligé de faire un don.
    Tu n'as qu'à faire connaître mon site au tour de toi (surtout la page pour sécuriser son PC), comme ça, ça sera d'une pierre deux coup.

    Pour les lenteurs au démarrage pour voir :

    - Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
    - Pour lancer HijackThis :
    * Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
    * Sur XP un simple double-clic suffit
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Enregistre le sur ton bureau
    - Envoie le sur http://pjjoint.malekal.com
    - Donne le lien pjjoint ici.
    0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    comme tu veux.

    Bha on peux pas dire que tu as bcp de choses au démarrage \o

    Menu Démarrer, dans la zone de recherche, tape msconfig
    Onglet services, décoche
    Apple Mobile Device -
    Service Bonjour
    LightScribeService Direct Disc Labeling Service

    et onglet démarrage, décoche :
    O4 - HKLM\..\Run: [4623 Scan2PC] C:\Windows\twain_32\Samsung\SCX4623\Scan2Pc.exe
    O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
    O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
    O4 - HKLM\..\Run: [Adobe ARM] C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe
    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files (x86)\iTunes\iTunesHelper.exe
    O4 - HKLM\..\Run: [HotCard Scanner Autodetect] C:\Program Files (x86)\BizCard2.5\BCRAutoDetect.exe
    O4 - HKCU\..\Run: [Clavier+] C:\Users\JM\AppData\Local\Clavier+\Clavier.exe

    OK partout et redémarre le PC.

    Je suis pas certains que ça fasse un gros changement.
    Peut-être que le ralentissement est dû à des dommages collatéraux de Zeroaccess ou Norton.
    0