virus zeraoacess - C:\Program Files (x86)\Google\desktopFermé

Question

Bonjour, 

J'ai attrapé moi aussi ce maudit virus.
je me suis inspiré de la méthode de Malekal Morte avec fClaude38 (19/08/2013) pour l'éradiquer avec Rogue Killer puis Malware anti rootkit.
RK a supprimé pas mal de choses mais a laissé zeroaccess que Mbar a détecté. cependant, Mbar n'arrive pas à s'en débarrasser et RK ne le trouve plus lors d'un scan.
Or, je sais qu'il est encore là car lorsque je vais dans C:\Program Files (x86)\Google\desktop et que je cherche à mettre le fichier install à la corbeille, ça plante mon ordi et explorer redémarre.

Si Malekal peut m'aider, s'il vous plaît, ça serait génial.
Bien sûr toute aide est bienvenue. Je compte sur vous, car j'ai épuisé toutes mes solutions.

cordialement
JM


Configuration: Windows 7 / Internet Explorer 10.0

Malekal_morte- · Answer

Salut,

Donne le rapport RK et Malwarebytes Anti-Malware. 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Mrduss · Answer

Waouh !! Quelle réactivité, merci. Voici le rapport : RogueKiller V8.6.6 _x64_ [Aug 19 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : JM [Droits d'admin] Mode : Suppression -- Date : 08/20/2013 19:13:34 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 1 ¤¤¤ [ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" < [x] -> STOPPÉ ¤¤¤ Entrees de registre : 12 ¤¤¤ [RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\?????????\?????????\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" >) -> SUPPRIMÉ [RUN][ZeroAccess] HKUS\S-1-5-21-1935447972-2533516424-1645277071-1000\[...]\Run : Google Update ("C:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\?????????\?????????\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" >) -> [0xc0000034] Unknown error [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\[...]\RunOnce : (cleanup) (rundll32.exe "C:\ProgramData\Malwarebytes' Anti-Malware (portable)\cleanup.dll",ProcessCleanupScript "C:\ProgramData\Malwarebytes' Anti-Malware (portable)" [x][7][x][-]) -> SUPPRIMÉ [SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ [SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" < [x]) -> [0x57] Paramètre incorrect. [SERVICE][ZeroAccess] HKLM\[...]\CS002\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\ \...\?????\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe" < [x]) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [BROK VAL] HKCR\[...]\command : () -> CRÉÉ ("%1" %*) [HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable. [HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable. [HID SVC][Masqué de l'API] HKLM\[...]\CS002\[...]\Services : . e () -> [0x3] Le chemin d???accès spécifié est introuvable. ¤¤¤ Tâches planifiées : 2 ¤¤¤ [V2][SUSP PATH] {C4035E0F-9317-4711-B384-B25CA6D2CC1E} : C:\Users\JM\Desktop\kit.exe [x] -> SUPPRIMÉ [V2][SUSP PATH] {F26E2F9D-3360-45E0-B9E5-6D180B9F36C9} : C:\Users\JM\Desktop\kit.exe [x] -> SUPPRIMÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 0.0.0.0 boxore.com 0.0.0.0 www.boxore.com 0.0.0.0 boxore.org 0.0.0.0 www.boxore.org 0.0.0.0 boxore.net 0.0.0.0 www.boxore.net 0.0.0.0 dlmanager.com 0.0.0.0 www.dlmanager.com 0.0.0.0 dlmanager.org 0.0.0.0 www.dlmanager.org 0.0.0.0 dlmanager.net 0.0.0.0 www.dlmanager.net ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10EADS-65L5B1 ATA Device +++++ --- User --- [MBR] 12944f9cae59062b6bc83b01b293b995 [BSP] 44cadcaf095ae7c100f40f2db140e07e : Windows Vista/7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939537 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924378624 | Size: 14230 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_08202013_191334.txt >> RKreport[0]_S_08202013_191243.txt

Malekal_morte- · Answer

Le rapport Malwarebytes anti-rootkit aussi pour voir :)

Mrduss · Answer

Le premier.....

Malwarebytes Anti-Rootkit BETA 1.06.1.1005
www.malwarebytes.org

Database version: v2013.08.19.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16660
JM :: BUREAU [administrator]

20/08/2013 08:27:43
mbar-log-2013-08-20 (08-27-43).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 314619
Time elapsed: 20 minute(s), 13 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 2
HKLM\SOFTWARE\Boxore (Adware.Boxore) -> Delete on reboot.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\?etadpug (Trojan.Zaccess) -> Delete on reboot.

Registry Values Detected: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Google Update (Rootkit.0Access) -> Data:  -> Delete on reboot.
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Google Update (Trojan.Zaccess) -> Data:  -> Delete on reboot.
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ASSOCIATIONS|bak_application (Hijacker.Application) -> Data: http://go.microsoft.com/fwlink/?LinkId=57426&Ext=%s -> Delete on reboot.

Registry Data Items Detected: 1
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ASSOCIATIONS|Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Replace on reboot.

Folders Detected: 14
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\??? (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\??? (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\??? (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\L (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\    (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \... (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \...\??? (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\l (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u (Trojan.0Access) -> Delete on reboot.
c:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.

Files Detected: 11
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\GoogleUpdate.exe (Rootkit.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\@ (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U\00000001.@ (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U\00000002.@ (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U\80000001.@ (Trojan.0Access) -> Delete on reboot.
c:\Users\JM\AppData\Local\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910}\???\???\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\U\800000cb.@ (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\@ (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u\00000001.@ (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u\00000002.@ (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u\80000001.@ (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \...\???\{6046dbcc-ff99-686c-9910-48191ec7a910}\u\800000cb.@ (Trojan.0Access) -> Delete on reboot.

Physical Sectors Detected: 0
(No malicious items detected)

(end)




Le dernier....

Malwarebytes Anti-Rootkit BETA 1.06.1.1005
www.malwarebytes.org

Database version: v2013.08.20.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16660
JM :: BUREAU [administrator]

20/08/2013 22:46:03
mbar-log-2013-08-20 (22-46-03).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUM | P2P
Scan options disabled: PUP
Objects scanned: 312694
Time elapsed: 13 minute(s), 37 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 3
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\    (Trojan.0Access) -> Delete on reboot.
c:\program files (x86)\google\desktop\install\{6046dbcc-ff99-686c-9910-48191ec7a910}\   \... (Trojan.0Access) -> Delete on reboot.
c:\Program Files (x86)\Google\Desktop\Install\{6046dbcc-ff99-686c-9910-48191ec7a910} (Trojan.0Access) -> Delete on reboot.

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)



Entre les deux, on a une répétition du dernier à chaque fois qu'on fait tourner Mbar

Malekal_morte- · Answer

Sauvegarde tes documents importants.
A lire en entier.


Désactive les logiciels de protection (Antivirus, Antispywares) 
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!       

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.       

Eventuellement, installe la console de récupération comme cela est conseillé       

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)     

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix       

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.       

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.    

Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.

Mrduss · Answer

ComboFix 13-08-20.01 - JM 21/08/2013  17:32:10.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.33.1036.18.6143.3585 [GMT 2:00]
Lancé depuis: c:\users\JM\Desktop\ComboFix.exe
AV: Symantec Endpoint Protection *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}
SP: Symantec Endpoint Protection *Disabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\install.exe
c:\windows\PFRO.log
c:\windows\Tab16d20.dll
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2013-07-21 au 2013-08-21  ))))))))))))))))))))))))))))))))))))
.
.
2013-08-20 19:31 . 2013-08-20 19:35	--------	d-----w-	C:\AdwCleaner
2013-08-20 17:21 . 2013-08-21 12:22	--------	d-----w-	c:\users\JM\AppData\Local\CrashDumps
2013-08-20 06:27 . 2013-08-20 20:09	36680	----a-w-	c:\windows\system32\drivers\mbamchameleon.sys
2013-08-19 16:59 . 2013-08-19 17:04	--------	d-----w-	c:\users\JM\AppData\Local\NPE
2013-08-06 07:54 . 2013-08-06 07:54	--------	d-----w-	C:\Exploitation
2013-07-26 11:51 . 2000-05-22 13:58	608448	----a-w-	c:\windows\SysWow64\comctl32.ocx
2013-07-26 10:34 . 2013-07-26 10:39	--------	d-----w-	c:\users\JM\AppData\Roaming\vlc
2013-07-23 08:37 . 2013-07-23 08:37	174200	----a-w-	c:\windows\system32\drivers\SYMEVENT64x86.SYS
2013-07-23 08:37 . 2013-07-23 08:37	--------	d-----w-	c:\program files\Symantec
2013-07-23 08:37 . 2013-07-23 08:37	--------	d-----w-	c:\program files\Common Files\Symantec Shared
2013-07-23 08:36 . 2013-07-23 08:36	58288	----a-w-	c:\windows\SysWow64\snacnp.dll
2013-07-23 08:36 . 2013-07-23 08:36	58288	----a-w-	c:\windows\system32\snacnp.dll
2013-07-23 08:36 . 2013-07-23 08:36	42632	----a-w-	c:\windows\system32\drivers\WGX64.SYS
2013-07-23 08:36 . 2013-07-23 08:36	287152	----a-w-	c:\windows\system32\SymVPN.dll
2013-07-23 08:36 . 2013-07-23 08:36	102832	----a-w-	c:\windows\SysWow64\FwsVpn.dll
2013-07-23 08:36 . 2013-07-23 08:36	--------	d-----w-	c:\windows\system32\drivers\SEP
2013-07-23 08:16 . 2013-07-23 08:16	--------	d-s---w-	c:\windows\SysWow64\Microsoft
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-08-21 08:04 . 2012-06-05 10:48	692104	----a-w-	c:\windows\SysWow64\FlashPlayerApp.exe
2013-08-21 08:04 . 2011-06-20 07:50	71048	----a-w-	c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2013-08-15 01:01 . 2010-01-02 13:30	78161360	----a-w-	c:\windows\system32\MRT.exe
2013-07-09 04:45 . 2013-08-14 02:57	44032	----a-w-	c:\windows\apppatch\acwow64.dll
2013-07-02 08:34 . 2013-07-20 07:02	9460976	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{395A534F-FFDF-4964-95EE-18340082296A}\mpengine.dll
2013-06-22 01:05 . 2013-06-22 01:05	97280	----a-w-	c:\windows\system32\mshtmled.dll
2013-06-22 01:05 . 2013-06-22 01:05	92160	----a-w-	c:\windows\system32\SetIEInstalledDate.exe
2013-06-22 01:05 . 2013-06-22 01:05	905728	----a-w-	c:\windows\system32\mshtmlmedia.dll
2013-06-22 01:05 . 2013-06-22 01:05	81408	----a-w-	c:\windows\system32\icardie.dll
2013-06-22 01:05 . 2013-06-22 01:05	762368	----a-w-	c:\windows\system32\ieapfltr.dll
2013-06-22 01:05 . 2013-06-22 01:05	73728	----a-w-	c:\windows\SysWow64\SetIEInstalledDate.exe
2013-06-22 01:05 . 2013-06-22 01:05	719360	----a-w-	c:\windows\SysWow64\mshtmlmedia.dll
2013-06-22 01:05 . 2013-06-22 01:05	62976	----a-w-	c:\windows\system32\pngfilt.dll
2013-06-22 01:05 . 2013-06-22 01:05	61952	----a-w-	c:\windows\SysWow64	dc.ocx
2013-06-22 01:05 . 2013-06-22 01:05	599552	----a-w-	c:\windows\system32\vbscript.dll
2013-06-22 01:05 . 2013-06-22 01:05	523264	----a-w-	c:\windows\SysWow64\vbscript.dll
2013-06-22 01:05 . 2013-06-22 01:05	52224	----a-w-	c:\windows\system32\msfeedsbs.dll
2013-06-22 01:05 . 2013-06-22 01:05	51200	----a-w-	c:\windows\system32\imgutil.dll
2013-06-22 01:05 . 2013-06-22 01:05	48640	----a-w-	c:\windows\SysWow64\mshtmler.dll
2013-06-22 01:05 . 2013-06-22 01:05	48640	----a-w-	c:\windows\system32\mshtmler.dll
2013-06-22 01:05 . 2013-06-22 01:05	452096	----a-w-	c:\windows\system32\dxtmsft.dll
2013-06-22 01:05 . 2013-06-22 01:05	441856	----a-w-	c:\windows\system32\html.iec
2013-06-22 01:05 . 2013-06-22 01:05	38400	----a-w-	c:\windows\SysWow64\imgutil.dll
2013-06-22 01:05 . 2013-06-22 01:05	361984	----a-w-	c:\windows\SysWow64\html.iec
2013-06-22 01:05 . 2013-06-22 01:05	281600	----a-w-	c:\windows\system32\dxtrans.dll
2013-06-22 01:05 . 2013-06-22 01:05	27648	----a-w-	c:\windows\system32\licmgr10.dll
2013-06-22 01:05 . 2013-06-22 01:05	270848	----a-w-	c:\windows\system32\iedkcs32.dll
2013-06-22 01:05 . 2013-06-22 01:05	247296	----a-w-	c:\windows\system32\webcheck.dll
2013-06-22 01:05 . 2013-06-22 01:05	235008	----a-w-	c:\windows\system32\url.dll
2013-06-22 01:05 . 2013-06-22 01:05	23040	----a-w-	c:\windows\SysWow64\licmgr10.dll
2013-06-22 01:05 . 2013-06-22 01:05	226304	----a-w-	c:\windows\system32\elshyph.dll
2013-06-22 01:05 . 2013-06-22 01:05	216064	----a-w-	c:\windows\system32\msls31.dll
2013-06-22 01:05 . 2013-06-22 01:05	197120	----a-w-	c:\windows\system32\msrating.dll
2013-06-22 01:05 . 2013-06-22 01:05	185344	----a-w-	c:\windows\SysWow64\elshyph.dll
2013-06-22 01:05 . 2013-06-22 01:05	173568	----a-w-	c:\windows\system32\ieUnatt.exe
2013-06-22 01:05 . 2013-06-22 01:05	167424	----a-w-	c:\windows\system32\iexpress.exe
2013-06-22 01:05 . 2013-06-22 01:05	158720	----a-w-	c:\windows\SysWow64\msls31.dll
2013-06-22 01:05 . 2013-06-22 01:05	1509376	----a-w-	c:\windows\system32\inetcpl.cpl
2013-06-22 01:05 . 2013-06-22 01:05	150528	----a-w-	c:\windows\SysWow64\iexpress.exe
2013-06-22 01:05 . 2013-06-22 01:05	149504	----a-w-	c:\windows\system32\occache.dll
2013-06-22 01:05 . 2013-06-22 01:05	144896	----a-w-	c:\windows\system32\wextract.exe
2013-06-22 01:05 . 2013-06-22 01:05	1441280	----a-w-	c:\windows\SysWow64\inetcpl.cpl
2013-06-22 01:05 . 2013-06-22 01:05	1400416	----a-w-	c:\windows\system32\ieapfltr.dat
2013-06-22 01:05 . 2013-06-22 01:05	138752	----a-w-	c:\windows\SysWow64\wextract.exe
2013-06-22 01:05 . 2013-06-22 01:05	13824	----a-w-	c:\windows\system32\mshta.exe
2013-06-22 01:05 . 2013-06-22 01:05	137216	----a-w-	c:\windows\SysWow64\ieUnatt.exe
2013-06-22 01:05 . 2013-06-22 01:05	136192	----a-w-	c:\windows\system32\iepeers.dll
2013-06-22 01:05 . 2013-06-22 01:05	135680	----a-w-	c:\windows\system32\IEAdvpack.dll
2013-06-22 01:05 . 2013-06-22 01:05	12800	----a-w-	c:\windows\SysWow64\mshta.exe
2013-06-22 01:05 . 2013-06-22 01:05	12800	----a-w-	c:\windows\system32\msfeedssync.exe
2013-06-22 01:05 . 2013-06-22 01:05	110592	----a-w-	c:\windows\SysWow64\IEAdvpack.dll
2013-06-22 01:05 . 2013-06-22 01:05	1054720	----a-w-	c:\windows\system32\MsSpellCheckingFacility.exe
2013-06-22 01:05 . 2013-06-22 01:05	102912	----a-w-	c:\windows\system32\inseng.dll
2013-06-22 01:05 . 2013-06-22 01:05	77312	----a-w-	c:\windows\system32	dc.ocx
2013-06-22 01:04 . 2013-06-22 01:04	9728	---ha-w-	c:\windows\SysWow64\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	9728	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shlwapi-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	648192	----a-w-	c:\windows\system32\d3d10level9.dll
2013-06-22 01:04 . 2013-06-22 01:04	604160	----a-w-	c:\windows\SysWow64\d3d10level9.dll
2013-06-22 01:04 . 2013-06-22 01:04	5632	---ha-w-	c:\windows\SysWow64\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	5632	---ha-w-	c:\windows\SysWow64\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	5632	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shlwapi-l2-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	5632	---ha-w-	c:\windows\system32\api-ms-win-downlevel-ole32-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	522752	----a-w-	c:\windows\system32\XpsGdiConverter.dll
2013-06-22 01:04 . 2013-06-22 01:04	465920	----a-w-	c:\windows\system32\WMPhoto.dll
2013-06-22 01:04 . 2013-06-22 01:04	417792	----a-w-	c:\windows\SysWow64\WMPhoto.dll
2013-06-22 01:04 . 2013-06-22 01:04	4096	---ha-w-	c:\windows\SysWow64\api-ms-win-downlevel-user32-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	4096	---ha-w-	c:\windows\system32\api-ms-win-downlevel-user32-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	3928064	----a-w-	c:\windows\system32\d2d1.dll
2013-06-22 01:04 . 2013-06-22 01:04	364544	----a-w-	c:\windows\SysWow64\XpsGdiConverter.dll
2013-06-22 01:04 . 2013-06-22 01:04	363008	----a-w-	c:\windows\system32\dxgi.dll
2013-06-22 01:04 . 2013-06-22 01:04	3584	---ha-w-	c:\windows\SysWow64\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	3584	---ha-w-	c:\windows\system32\api-ms-win-downlevel-advapi32-l2-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	3419136	----a-w-	c:\windows\SysWow64\d2d1.dll
2013-06-22 01:04 . 2013-06-22 01:04	333312	----a-w-	c:\windows\system32\d3d10_1core.dll
2013-06-22 01:04 . 2013-06-22 01:04	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-downlevel-version-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	3072	---ha-w-	c:\windows\SysWow64\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	3072	---ha-w-	c:\windows\system32\api-ms-win-downlevel-version-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	3072	---ha-w-	c:\windows\system32\api-ms-win-downlevel-shell32-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	296960	----a-w-	c:\windows\system32\d3d10core.dll
2013-06-22 01:04 . 2013-06-22 01:04	293376	----a-w-	c:\windows\SysWow64\dxgi.dll
2013-06-22 01:04 . 2013-06-22 01:04	2776576	----a-w-	c:\windows\system32\msmpeg2vdec.dll
2013-06-22 01:04 . 2013-06-22 01:04	2565120	----a-w-	c:\windows\system32\d3d10warp.dll
2013-06-22 01:04 . 2013-06-22 01:04	2560	---ha-w-	c:\windows\SysWow64\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	2560	---ha-w-	c:\windows\system32\api-ms-win-downlevel-normaliz-l1-1-0.dll
2013-06-22 01:04 . 2013-06-22 01:04	249856	----a-w-	c:\windows\SysWow64\d3d10_1core.dll
2013-06-22 01:04 . 2013-06-22 01:04	245248	----a-w-	c:\windows\system32\WindowsCodecsExt.dll
2013-06-22 01:04 . 2013-06-22 01:04	2284544	----a-w-	c:\windows\SysWow64\msmpeg2vdec.dll
2013-06-22 01:04 . 2013-06-22 01:04	221184	----a-w-	c:\windows\system32\UIAnimation.dll
2013-06-22 01:04 . 2013-06-22 01:04	220160	----a-w-	c:\windows\SysWow64\d3d10core.dll
2013-06-22 01:04 . 2013-06-22 01:04	207872	----a-w-	c:\windows\SysWow64\WindowsCodecsExt.dll
2013-06-22 01:04 . 2013-06-22 01:04	1988096	----a-w-	c:\windows\SysWow64\d3d10warp.dll
2013-06-22 01:04 . 2013-06-22 01:04	194560	----a-w-	c:\windows\system32\d3d10_1.dll
2013-06-22 01:04 . 2013-06-22 01:04	187392	----a-w-	c:\windows\SysWow64\UIAnimation.dll
2013-06-22 01:04 . 2013-06-22 01:04	1682432	----a-w-	c:\windows\system32\XpsPrint.dll
2013-06-22 01:04 . 2013-06-22 01:04	161792	----a-w-	c:\windows\SysWow64\d3d10_1.dll
2013-06-22 01:04 . 2013-06-22 01:04	1238528	----a-w-	c:\windows\system32\d3d10.dll
2013-06-22 01:04 . 2013-06-22 01:04	1175552	----a-w-	c:\windows\system32\FntCache.dll
2013-06-22 01:04 . 2013-06-22 01:04	1158144	----a-w-	c:\windows\SysWow64\XpsPrint.dll
2013-06-22 01:04 . 2013-06-22 01:04	1080832	----a-w-	c:\windows\SysWow64\d3d10.dll
2013-06-22 01:04 . 2013-06-22 01:04	10752	---ha-w-	c:\windows\SysWow64\api-ms-win-downlevel-advapi32-l1-1-0.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	130736	----a-w-	c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Clavier+"="c:\users\JM\AppData\Local\Clavier+\Clavier.exe" [2011-04-17 104960]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"4623 Scan2PC"="c:\windows	wain_32\Samsung\SCX4623\Scan2Pc.exe" [2009-09-10 1968640]
"SwitchBoard"="c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
"Samsung PanelMgr"="c:\windows\Samsung\PanelMgr\SSMMgr.exe" [2009-08-14 614400]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2013-05-31 152392]
.
c:\users\JM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dropbox.lnk - c:\users\JM\AppData\Roaming\Dropbox\bin\Dropbox.exe /systemstartup [2013-5-25 27776968]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"SoftwareSASGeneration"= 1 (0x1)
.
[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversionun-]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"TkBellExe"="c:\program files (x86)\Real\RealPlayer\updateealsched.exe"  -osboot
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREdrv.sys;c:\windows\SYSNATIVE\drivers\SBREdrv.sys [x]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
R2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [x]
R3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudbus.sys;c:\windows\SYSNATIVE\DRIVERS\ssudbus.sys [x]
R3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys;c:\windows\SYSNATIVE\drivers\massfilter.sys [x]
R3 mbamchameleon;mbamchameleon;c:\windows\system32\drivers\mbamchameleon.sys;c:\windows\SYSNATIVE\drivers\mbamchameleon.sys [x]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys;c:\windows\SYSNATIVE\drivers\mbam.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\driversdpvideominiport.sys;c:\windows\SYSNATIVE\driversdpvideominiport.sys [x]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys;c:\windows\SYSNATIVE\DRIVERS\RTL8192su.sys [x]
R3 ssudmdm;SAMSUNG  Mobile USB Modem Drivers (DEVGURU Ver.);c:\windows\system32\DRIVERS\ssudmdm.sys;c:\windows\SYSNATIVE\DRIVERS\ssudmdm.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe;c:\program files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys;c:\windows\SYSNATIVE\drivers	susbflt.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys;c:\windows\SYSNATIVE\Drivers\usbaapl64.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
R3 ZTEusbnet;ZTE USB-NDIS miniport;c:\windows\system32\DRIVERS\ZTEusbnet.sys;c:\windows\SYSNATIVE\DRIVERS\ZTEusbnet.sys [x]
R3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\DRIVERS\ZTEusbvoice.sys;c:\windows\SYSNATIVE\DRIVERS\ZTEusbvoice.sys [x]
R4 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe;c:\windows\SYSNATIVE\svchost.exe [x]
R4 Freemake Improver;Freemake Improver;c:\programdata\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe;c:\programdata\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [x]
R4 Samsung Network Fax Server;Samsung Network Fax Server;c:\windows\system32\spool\drivers\x64\3\NetFaxServer64.exe;c:\windows\SYSNATIVE\spool\drivers\x64\3\NetFaxServer64.exe [x]
S0 SymDS;Symantec Data Store;c:\windows\system32\Drivers\SEP\0C01029F\136B.105\x64\SYMDS64.SYS;c:\windows\SYSNATIVE\Drivers\SEP\0C01029F\136B.105\x64\SYMDS64.SYS [x]
S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\Drivers\SEP\0C01029F\136B.105\x64\SYMEFA64.SYS;c:\windows\SYSNATIVE\Drivers\SEP\0C01029F\136B.105\x64\SYMEFA64.SYS [x]
S1 aswKbd;aswKbd; [x]
S1 BHDrvx64;BHDrvx64;c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\Definitions\BASHDefs\20130716.011\BHDrvx64.sys;c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\Definitions\BASHDefs\20130716.011\BHDrvx64.sys [x]
S1 IDSVia64;IDSVia64;c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\Definitions\IPSDefs\20130816.001\IDSvia64.sys;c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\Definitions\IPSDefs\20130816.001\IDSvia64.sys [x]
S1 SymIRON;Symantec Iron Driver;c:\windows\system32\Drivers\SEP\0C01029F\136B.105\x64\Ironx64.SYS;c:\windows\SYSNATIVE\Drivers\SEP\0C01029F\136B.105\x64\Ironx64.SYS [x]
S1 SYMNETS;Symantec Network Security WFP Driver;c:\windows\system32\Drivers\SEP\0C01029F\136B.105\x64\SYMNETS.SYS;c:\windows\SYSNATIVE\Drivers\SEP\0C01029F\136B.105\x64\SYMNETS.SYS [x]
S2 DLSDB;Dell Printer Status Database;c:\program files\Dell Printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE;c:\program files\Dell Printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE [x]
S2 LMIGuardianSvc;LMIGuardianSvc;c:\program files (x86)\LogMeIn\x64\LMIGuardianSvc.exe;c:\program files (x86)\LogMeIn\x64\LMIGuardianSvc.exe [x]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files (x86)\LogMeIn\x64\RaInfo.sys;c:\program files (x86)\LogMeIn\x64\RaInfo.sys [x]
S2 SepMasterService;Symantec Endpoint Protection;c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\ccSvcHst.exe;c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\ccSvcHst.exe [x]
S2 SSPORT;SSPORT;c:\windows\system32\Drivers\SSPORT.sys;c:\windows\SYSNATIVE\Drivers\SSPORT.sys [x]
S2 TeamViewer8;TeamViewer 8;c:\program files (x86)\TeamViewer\Version8\TeamViewer_Service.exe;c:\program files (x86)\TeamViewer\Version8\TeamViewer_Service.exe [x]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [x]
.
.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'
.
2013-08-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-06-05 08:04]
.
2013-08-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-29 07:24]
.
2013-08-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-03-29 07:24]
.
2013-07-29 c:\windows\Tasks\HPCeeScheduleForJM.job
- c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2009-10-07 03:22]
.
2013-07-31 c:\windows\Tasks\PCDRScheduledMaintenance.job
- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2009-06-10 11:04]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	164016	----a-w-	c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	164016	----a-w-	c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	164016	----a-w-	c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-05-25 00:36	164016	----a-w-	c:\users\JM\AppData\Roaming\Dropbox\bin\DropboxExt64.19.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogMeIn GUI"="c:\program files (x86)\LogMeIn\x64\LogMeInSystray.exe" [2008-08-11 57928]
"AdobeAAMUpdater-1.0"="c:\program files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2013-06-03 472984]
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.sfr.fr/fr/adsl.jsp
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: creditmutuel.fr\www
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{D157BE18-92BC-4B1A-9896-28ADF2D43B5A}: DhcpNameServer = 109.0.66.10 109.0.66.20
TCP: Interfaces\{D157BE18-92BC-4B1A-9896-28ADF2D43B5A}\356425027596649602055726C69636: DhcpNameServer = 109.0.66.10 109.0.66.20
DPF: {0FADB9AA-6955-4319-B538-BB1461E11A28} - hxxps://www.ntrconnect.com/main/mod/setup/beta/ntrplugin1242v_2.cab
FF - ProfilePath - c:\users\JM\AppData\Roaming\Mozilla\Firefox\Profiles\02b7apr3.default\
FF - ExtSQL: 2013-06-25 16:48; ffxtlbr@delta.com; c:\users\JM\AppData\Roaming\Mozilla\Firefox\Profiles\02b7apr3.default\extensions\ffxtlbr@delta.com
FF - ExtSQL: 2013-08-20 20:54; {BBDA0591-3099-440a-AA10-41764D9DB4DB}; c:\programdata\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Data\IPSFFPlgn
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-10 - (no file)
Wow6432Node-HKU-Default-RunOnce-SPReview - c:\windows\System32\SPReview\SPReview.exe
Notify-SEP - c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\WinLogoutNotifier.dll
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
Toolbar-10 - (no file)
AddRemove-OptifOrm2 - c:\optiform web\WDUNINST.EXE
AddRemove-{B60DCA15-56A3-4D2D-8747-22CF7D7B588B} - c:\program files (x86)\InstallShield Installation Information\{B60DCA15-56A3-4D2D-8747-22CF7D7B588B}\setup.exe
AddRemove-{C611CF88-969D-43E6-A877-D6D6439DD081} - c:\programdata\{ADCBF7A8-716E-4B21-AF03-E3F11C06C309}\HP_Remote_Solution_Install.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SepMasterService]
"ImagePath"="\"c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\ccSvcHst.exe\" /s \"Symantec Endpoint Protection\" /m \"c:\program files (x86)\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\sms.dll\" /prefetch:1"

Malekal_morte- · Answer

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

file::
c:\program files (x86)\google\

Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe 

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.

Mrduss · Answer

voici le lien

https://pjjoint.malekal.com/files.php?id=20130821_c8e87i11z12

Malekal_morte- · Answer

Je pense que ZeroAccess a été désactivé.
La clef Run a été virée par ZeroAccess ainsi que le service.

Ca doit être le dossier qui est difficilement supprimable à cause du "trick" (les ??).

Essaye avec GMER : https://www.malekal.com/tutorial-gmer/
onglet file si disponible
de virer le dossier Google de program files (x86)

Mrduss · Answer

Ok,

Le temps de lire le tuto ce soir chez moi et je fais ça dès demain matin.
Je poste le résultat obtenu dès que possible.
Bonne soirée.

Mrduss · Answer

Bonjour,

Commande "delete" Gmer inefficace.
j'ai, à tout hasard, lancé un scan avec Gmer et mon ordi a planté (extinction de l'ordinateur pour eviter un crash massif (ou quelque chose comme ça).

Je n'ai pas osé relancer un scan Gmer.

Du coup, j'ai remarqué lors du redémarrage, que mon ordinateur que je laisse d'habitude tourner quasiment 24h/24 était très lent à redémarrer (5 minutes environ). Un rapport avec le virus ?

Qu'est ce que je dois faire ?

bonne journée.

Malekal_morte- · Answer

han je pensais que le driver de gmer marchait sur 64 bits :)

bon je viens de vérifier et effectivement le dossier reste après désactivation de ZeroAccess.
On est bien dans le cas que je dis plus haut, donc c'est pas "très" grave si le dossier reste.

 

J'ai essayé unlocker et il est capable de virer le fichier.
Par contre, faut désactiver la corbeille avant, parce que sinon ça fout le fichier dans la corbeille et après impossible de s'en débarrasser.

Unlocker : https://www.clubic.com/telecharger-fiche20237-unlocker.html

Attention, cocher advanced durant l'installation d'unlocker et décocher tout, sinon ça va te foutre le programme parasite delta.

Désactive bien la corbeille pour le disque C avant.
Clic droit sur la corbeille, ne pas déplacer etc.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Mrduss · Answer

J'ai fait une erreur et j'ai bien désactivé la poubelle, mais pour le disque D de recovery de HP.
Du coup, le fichier est allé dans la corbeille de mon bureau !!
Cependant, je l'ai vidée et maintenant, elle apparait vide.
le fichier a bien disparu de son emplacement initial.
Ce serait donc bon ? si la poubelle est vide il ne peut pas s'être caché ?

Mrduss · Answer

Pardon pour le délai, j'étais en clientèle....

Comme le dit Mbar

Congratulations, No malware found !
(:-), (:-), (:-)

simplement génial, merci beaucoup.

Petite question, c'est combien les us et coutumes pour la contrib paypal ?

Et si je peux abuser, quid de la lenteur de mon PC à l'ouverture  (j'ai déjà mis un minimum de taches ouvertes au démarrage) ?

Malekal_morte- · Answer

Tu n'es pas obligé de faire un don.
Tu n'as qu'à faire connaître mon site au tour de toi (surtout la page pour sécuriser son PC), comme ça, ça sera d'une pierre deux coup.

Pour les lenteurs au démarrage pour voir :

- Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
- Pour lancer HijackThis :
* Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
* Sur XP un simple double-clic suffit
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

Mrduss · Answer

Je ferai un don car tu m'as bien dépanné et cela mérite une récompense, cela ne m'empêchera pas de faire connaitre ton site.

Voici le lien hijack :

https://pjjoint.malekal.com/files.php?id=HijackThis_20130822_n10o13d7w13l15

Malekal_morte- · Answer

comme tu veux.

Bha on peux pas dire que tu as bcp de choses au démarrage \o

Menu Démarrer, dans la zone de recherche, tape msconfig
Onglet services, décoche
Apple Mobile Device -
 Service Bonjour 
LightScribeService Direct Disc Labeling Service

et onglet démarrage, décoche :
 O4 - HKLM\..\Run: [4623 Scan2PC] C:\Windows	wain_32\Samsung\SCX4623\Scan2Pc.exe  
 O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe  
 O4 - HKLM\..\Run: [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun  
 O4 - HKLM\..\Run: [Adobe ARM] C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe  
 O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files (x86)\iTunes\iTunesHelper.exe  
 O4 - HKLM\..\Run: [HotCard Scanner Autodetect] C:\Program Files (x86)\BizCard2.5\BCRAutoDetect.exe  
 O4 - HKCU\..\Run: [Clavier+] C:\Users\JM\AppData\Local\Clavier+\Clavier.exe   
 
OK partout et redémarre le PC.

Je suis pas certains que ça fasse un gros changement.
Peut-être que le ralentissement est dû à des dommages collatéraux de Zeroaccess ou Norton.

Virus zeraoacess - C:\Program Files (x86)\Google\desktop

17 réponses

Discussions similaires

Newsletters