Sujet Précédent Sujet Suivant

Infecté par start qone8

Fermé
BENDER2.0 Messages postés 5 Date d'inscription samedi 2 novembre 2013 Statut Membre Dernière intervention 3 novembre 2013 - 2 nov. 2013 à 16:55
 Utilisateur anonyme - 5 nov. 2013 à 19:25
Bonjour à toutes et à tous,

Je suis infecté depuis ce matin par le virus start qone8, chaque fois que je lance firefox je me retrouve avec une autre page d'accueil, en l'occurence start qone8.

J'ai téléchargé Adwcleaner, et voici le rapport obtenu :


# AdwCleaner v3.010 - Rapport créé le 02/11/2013 à 16:32:10
# Mis à jour le 20/10/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : KIM Sothéa - PCPK0911
# Exécuté depuis : C:\Users\KIM Sothéa\Downloads\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Présent C:\Program Files (x86)\BonanzaDeals
Dossier Présent C:\Users\KIM Sothéa\AppData\Roaming\UpdaterEX
Fichier Présent : C:\Program Files (x86)\Mozilla Firefox\searchplugins\qone8.xml
Fichier Présent : C:\Users\KIM Sothéa\AppData\Roaming\Mozilla\Firefox\Profiles\dueb7bri.default\user.js
Fichier Présent : C:\Windows\System32\Tasks\Advanced System Protector_startup
Fichier Présent : C:\Windows\System32\Tasks\UpdaterEX
Fichier Présent : C:\Windows\Tasks\UpdaterEX.job

***** [ Raccourcis ] *****

Raccourci Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )

***** [ Registre ] *****

Clé Présente : HKCU\Software\BonanzaDealsLive
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{323420B6-65E5-4657-8106-A27392D4D4AA}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{323420B6-65E5-4657-8106-A27392D4D4AA}
Clé Présente : [x64] HKCU\Software\BonanzaDealsLive
Clé Présente : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Présente : HKLM\Software\BonanzaDealsLive
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe
Clé Présente : HKLM\Software\qone8Software
Clé Présente : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Donnée Présente : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command [(Default)] - "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Donnée Présente : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [(Default)] - C:\Program Files\Internet Explorer\iexplore.exe hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16720

Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://start.qone8.com/web/?type=ds&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7&q={searchTerms}
Paramètre Présent : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] - hxxp://start.qone8.com/web/?type=ds&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7&q={searchTerms}
Paramètre Présent : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://start.qone8.com/web/?type=ds&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7&q={searchTerms}
Paramètre Présent : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] - hxxp://start.qone8.com/web/?type=ds&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7&q={searchTerms}

-\\ Mozilla Firefox v25.0 (fr)

[ Fichier : C:\Users\KIM Sothéa\AppData\Roaming\Mozilla\Firefox\Profiles\dueb7bri.default\prefs.js ]

Ligne Trouvée : user_pref("browser.newtab.url", "hxxp://start.qone8.com/newtab/?type=nt&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7");
Ligne Trouvée : user_pref("browser.search.defaultenginename", "qone8");
Ligne Trouvée : user_pref("browser.search.selectedEngine", "qone8");
Ligne Trouvée : user_pref("extensions.LinkSwift.aul", "1381380502250");
Ligne Trouvée : user_pref("extensions.LinkSwift.irl", true);
Ligne Trouvée : user_pref("extensions.LinkSwift.is", "trlsfr");
Ligne Trouvée : user_pref("extensions.LinkSwift.ug", "0777A082-37B8-495A-B4F9-0B44758CC2F0");

*************************

AdwCleaner[R0].txt - [9884 octets] - [08/10/2013 06:57:36]
AdwCleaner[R1].txt - [1026 octets] - [08/10/2013 07:30:06]
AdwCleaner[R2].txt - [1147 octets] - [08/10/2013 17:45:35]
AdwCleaner[R3].txt - [1267 octets] - [09/10/2013 05:08:58]
AdwCleaner[R4].txt - [1388 octets] - [09/10/2013 05:18:47]
AdwCleaner[R5].txt - [6910 octets] - [02/11/2013 16:32:10]
AdwCleaner[S0].txt - [9280 octets] - [08/10/2013 06:58:50]
AdwCleaner[S1].txt - [1089 octets] - [08/10/2013 07:31:18]
AdwCleaner[S2].txt - [1210 octets] - [08/10/2013 17:46:33]
AdwCleaner[S3].txt - [1330 octets] - [09/10/2013 05:15:58]

########## EOF - C:\AdwCleaner\AdwCleaner[R5].txt - [7210 octets] ##########




<config>Windows 7 / Firefox 25.0</confi

Voilà, j'éspère que quelqu'un pourra m'aider à enlever ce virus de mon PC,
en vous remerciant, Bender 2.0

40 réponses

  • 1
  • 2
Réponse 1 / 40
Utilisateur anonyme
2 nov. 2013 à 16:56
Bonjour,

relance ADWc, clique sur supprimer,

poste son rapport après le redémarrage du pc


0
Réponse 2 / 40
BENDER2.0 Messages postés 5 Date d'inscription samedi 2 novembre 2013 Statut Membre Dernière intervention 3 novembre 2013
2 nov. 2013 à 17:14
Bonjour Electricien 69,
Voici le rapport après redémarrage :


# AdwCleaner v3.010 - Rapport créé le 02/11/2013 à 17:07:09
# Mis à jour le 20/10/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : KIM Sothéa - PCPK0911
# Exécuté depuis : C:\Users\KIM Sothéa\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Program Files (x86)\BonanzaDeals
Dossier Supprimé : C:\Users\KIM Sothéa\AppData\Roaming\UpdaterEX
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\qone8.xml
Fichier Supprimé : C:\Users\KIM Sothéa\AppData\Roaming\Mozilla\Firefox\Profiles\dueb7bri.default\user.js
Fichier Supprimé : C:\Windows\System32\Tasks\Advanced System Protector_startup
Fichier Supprimé : C:\Windows\Tasks\UpdaterEX.job
Fichier Supprimé : C:\Windows\System32\Tasks\UpdaterEX

***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{323420B6-65E5-4657-8106-A27392D4D4AA}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{323420B6-65E5-4657-8106-A27392D4D4AA}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
Clé Supprimée : HKCU\Software\BonanzaDealsLive
Clé Supprimée : HKLM\Software\BonanzaDealsLive
Clé Supprimée : HKLM\Software\qone8Software

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16720

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page]

-\\ Mozilla Firefox v25.0 (fr)

[ Fichier : C:\Users\KIM Sothéa\AppData\Roaming\Mozilla\Firefox\Profiles\dueb7bri.default\prefs.js ]

Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://start.qone8.com/newtab/?type=nt&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7");
Ligne Supprimée : user_pref("browser.search.defaultenginename", "qone8");
Ligne Supprimée : user_pref("browser.search.selectedEngine", "qone8");
Ligne Supprimée : user_pref("extensions.LinkSwift.aul", "1381380502250");
Ligne Supprimée : user_pref("extensions.LinkSwift.irl", true);
Ligne Supprimée : user_pref("extensions.LinkSwift.is", "trlsfr");
Ligne Supprimée : user_pref("extensions.LinkSwift.ug", "0777A082-37B8-495A-B4F9-0B44758CC2F0");

*************************

AdwCleaner[R0].txt - [6778 octets] - [02/11/2013 17:06:16]
AdwCleaner[S0].txt - [4667 octets] - [02/11/2013 17:07:09]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4727 octets] ##########

En te remerciant,
0
Réponse 3 / 40
Utilisateur anonyme
2 nov. 2013 à 17:50
relance ADWc, clique sur désinstaller,

* Télécharge et enregistre ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

=> L'icône est sous forme de parchemin.

* Clique sur configurer, puis sur la loupe + .

* Laisse travailler l'outil, même s'il semble bloqué !

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers


tuto zhpdiag :

http://nicolascoolman.webs.com/tutorials.htm


0
Réponse 4 / 40
BENDER2.0 Messages postés 5 Date d'inscription samedi 2 novembre 2013 Statut Membre Dernière intervention 3 novembre 2013
2 nov. 2013 à 20:07
Electricien 69, le problème est résolu, un grand merci à toi et à toute l'équipe de CCM, bonne continuation
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 40
Utilisateur anonyme
2 nov. 2013 à 21:04
ok, comme tu voudras :D

n'oublie pas de désinstaller les outils :-)

sur ce, bon surf ;-)


0
Réponse 6 / 40
BENDER2.0 Messages postés 5 Date d'inscription samedi 2 novembre 2013 Statut Membre Dernière intervention 3 novembre 2013
3 nov. 2013 à 02:38
~ Rapport de ZHPDiag v2013.11.1.2 - Nicolas Coolman (02/11/2013)
~ Lancé par KIM Sothéa (03/11/2013 02:31:53)
~ Adresse du Site Web https://nicolascoolman.webs.com/
~ Forums gratuits d'Assistance à la désinfection : https://nicolascoolman.webs.com/
~ Traduit par Nicolas Coolman
~ Etat de la version :
~ Liste blanche : Activée par le programme
~ Elévation des Privilèges : OK
~ User Account Control (UAC): Activate by user


---\\ Navigateurs Internet
MSIE: Internet Explorer v10.0.9200.16721
MFIE: Mozilla Firefox 25.0 (Defaut)

---\\ Informations sur les produits Windows
~ Langage: Français
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Windows Server License Manager Script : OK

---\\ Logiciels de protection du système
Microsoft Security Client v4.3.0219.0
Windows Defender W7

---\\ Logiciels d'optimisation du système

---\\ Logiciels de partage PeerToPeer
eMule

---\\ Surveillance de Logiciels
Adobe Flash Player 11 Plugin
Adobe Reader 9.1 MUI

---\\ Informations sur le système
~ Processor: Intel64 Family 6 Model 23 Stepping 10, GenuineIntel
~ Operating System: 64 Bits
Boot mode: Normal (Normal boot)
Total RAM: 4095 MB (58% free)
System Restore: Activé (Enable)
System drive C: has 8 GB (6%) free of 116 GB

---\\ Mode de connexion au système
~ Computer Name: PCPK0911
~ User Name: KIM Sothéa
~ All Users Names: KIM Sothéa, HomeGroupUser$, Administrateur,
~ Unselected Option: None
Logged in as Administrator

---\\ Variables d'environnement
~ System Unit : C:\
~ %AppZHP% : C:\Users\KIM Sothéa\AppData\Roaming\ZHP\
~ %AppData% : C:\Users\KIM Sothéa\AppData\Roaming\
~ %Desktop% : C:\Users\KIM Sothéa\Desktop\
~ %Favorites% : C:\Users\KIM Sothéa\Favorites\
~ %LocalAppData% : C:\Users\KIM Sothéa\AppData\Local\
~ %StartMenu% : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\
~ %Windir% : C:\Windows\
~ %System% : C:\Windows\System32\

---\\ Enumération des unités disques
C: Hard drive, Flash drive, Thumb drive (Free 8 Go of 116 Go)
D: Hard drive, Flash drive, Thumb drive (Free 333 Go of 333 Go)
E: CD-ROM drive (Not Inserted)
F: Hard drive, Flash drive, Thumb drive (Free 233 Go of 233 Go)
G: Hard drive, Flash drive, Thumb drive (Free 233 Go of 233 Go)



---\\ Etat du Centre de Sécurité Windows
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
~ Security Center: 46 Legitimates Filtered in 00mn 00s



---\\ Recherche particulière de fichiers génériques
[MD5.AC4C51EB24AA95B77F705AB159189E24] - (.Microsoft Corporation - Explorateur Windows.) (.20/11/2010 - 14:24:45.) -- C:\Windows\Explorer.exe [2872320]
[MD5.94355C28C1970635A31B3FE52EB7CEBA] - (.Microsoft Corporation - Application de démarrage de Windows.) (.14/07/2009 - 02:39:52.) -- C:\Windows\System32\Wininit.exe [129024]
[MD5.D28B35DE88D27EFB27DF4B1E8319E3C0] - (.Microsoft Corporation - Extensions Internet pour Win32.) (.22/09/2013 - 23:55:10.) -- C:\Windows\System32\wininet.dll [2241024]
[MD5.1151B1BAA6F350B1DB6598E0FEA7C457] - (.Microsoft Corporation - Application d'ouverture de session Windows.) (.20/11/2010 - 14:25:30.) -- C:\Windows\System32\Winlogon.exe [390656]
[MD5.067FA52BFB59A56110A12312EF9AF243] - (.Microsoft Corporation - Bibliothèque de licences.) (.20/11/2010 - 14:27:26.) -- C:\Windows\System32\sppcomapi.dll [232448]
[MD5.1C7857B62DE5994A75B054A9FD4C3825] - (.Microsoft Corporation - Ancillary Function Driver for WinSock.) (.28/12/2011 - 04:59:24.) -- C:\Windows\system32\Drivers\AFD.sys [498688]
[MD5.02062C0B390B7729EDC9E69C680A6F3C] - (.Microsoft Corporation - ATAPI IDE Miniport Driver.) (.14/07/2009 - 02:52:21.) -- C:\Windows\system32\Drivers\atapi.sys [24128]
[MD5.B8BD2BB284668C84865658C77574381A] - (.Microsoft Corporation - CD-ROM File System Driver.) (.14/07/2009 - 00:19:47.) -- C:\Windows\system32\Drivers\Cdfs.sys [92160]
[MD5.F036CE71586E93D94DAB220D7BDF4416] - (.Microsoft Corporation - SCSI CD-ROM Driver.) (.20/11/2010 - 10:19:21.) -- C:\Windows\system32\Drivers\Cdrom.sys [147456]
[MD5.9BB2EF44EAA163B29C4A4587887A0FE4] - (.Microsoft Corporation - DFS Namespace Client Driver.) (.20/11/2010 - 10:26:32.) -- C:\Windows\system32\Drivers\DfsC.sys [102400]
[MD5.97BFED39B6B79EB12CDDBFEED51F56BB] - (.Microsoft Corporation - High Definition Audio Bus Driver.) (.20/11/2010 - 11:43:43.) -- C:\Windows\system32\Drivers\HDAudBus.sys [122368]
[MD5.FA55C73D4AFFA7EE23AC4BE53B4592D3] - (.Microsoft Corporation - Pilote de port i8042.) (.14/07/2009 - 00:19:57.) -- C:\Windows\system32\Drivers\i8042prt.sys [105472]
[MD5.AF9B39A7E7B6CAA203B3862582E9F2D0] - (.Microsoft Corporation - IP Network Address Translator.) (.14/07/2009 - 01:10:03.) -- C:\Windows\system32\Drivers\IpNat.sys [116224]
[MD5.A5D9106A73DC88564C825D317CAC68AC] - (.Microsoft Corporation - Windows NT SMB Minirdr.) (.27/04/2011 - 03:40:40.) -- C:\Windows\system32\Drivers\MRxSmb.sys [158208]
[MD5.09594D1089C523423B32A4229263F068] - (.Microsoft Corporation - MBT Transport driver.) (.20/11/2010 - 10:23:20.) -- C:\Windows\system32\Drivers\netBT.sys [261632]
[MD5.B98F8C6E31CD07B2E6F71F7F648E38C0] - (.Microsoft Corporation - Pilote du système de fichiers NT.) (.12/04/2013 - 15:45:08.) -- C:\Windows\system32\Drivers\ntfs.sys [1656680]
[MD5.0086431C29C35BE1DBC43F52CC273887] - (.Microsoft Corporation - Pilote de port parallèle.) (.14/07/2009 - 01:00:41.) -- C:\Windows\system32\Drivers\Parport.sys [97280]
[MD5.471815800AE33E6F1C32FB1B97C490CA] - (.Microsoft Corporation - RAS L2TP mini-port/call-manager driver.) (.20/11/2010 - 11:52:35.) -- C:\Windows\system32\Drivers\Rasl2tp.sys [129536]
[MD5.548260A7B8654E024DC30BF8A7C5BAA4] - (.Microsoft Corporation - SMB Transport driver.) (.14/07/2009 - 01:09:09.) -- C:\Windows\system32\Drivers\smb.sys [93184]
[MD5.DDAD5A7AB24D8B65F8D724F5C20FD806] - (.Microsoft Corporation - TDI Translation Driver.) (.20/11/2010 - 10:21:56.) -- C:\Windows\system32\Drivers\tdx.sys [119296]
[MD5.0D08D2F3B3FF84E433346669B5E0F639] - (.Microsoft Corporation - Pilote de cliché instantané du volume.) (.20/11/2010 - 14:34:02.) -- C:\Windows\system32\Drivers\volsnap.sys [295808]
~ Generic Processes: Scanned in 00mn 00s



---\\ Etat des fichiers cachés (Caché/Total)
~ Mes Favoris (My Favorites) : 1/51
~ Mes Documents (My Documents) : 1/28
~ Mon Bureau (My Desktop) : 1/3439
~ Menu demarrer (Programs) : 1/42
~ Hidden Files: Scanned in 00mn 02s



---\\ Processus lancés
[MD5.1971D838A88F58D59543E9B3CDA5FFC4] - (.ASUS - SmartLogon Application.) -- C:\Program Files (x86)\ASUS\SmartLogon\sensorsrv.exe [305720] [PID.1648]
[MD5.BA2B4E07561CF877F61B0EEED654BC96] - (...) -- C:\Program Files (x86)\ASUS\ControlDeck\ControlDeckStartUp.exe [53888] [PID.1712]
[MD5.F4DCD4912B185C3AAEB92A7040832AD1] - (.Pas de propriétaire - ALU.) -- C:\Program Files (x86)\ASUS\ASUS Live Update\ALU.exe [51768] [PID.1880]
[MD5.97F60D16F052DA9CB619AB9A96CB2D4E] - (.Pas de propriétaire - Wireless Console 3.) -- C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe [1597440] [PID.2064]
[MD5.7DFCCC67990B6DE7F30F553A4E4612A4] - (...) -- C:\Program Files (x86)\RocketDock\RocketDock.exe [495616] [PID.3272]
[MD5.F5FBA8724DE219E96D9ABAF4772D31A3] - (.CyberLink Corp. - PowerDVD RC Service.) -- C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe [87336] [PID.3572]
[MD5.5AEBF6FA9805C9101220AA4FB4FA17E7] - (.ASUS - HControlUser.) -- C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe [105016] [PID.3784]
[MD5.5666955DC9FD455A003D86A21E0483A9] - (.ASUS - ATK Media.) -- C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe [170624] [PID.3792]
[MD5.32F43BE36AAC4E10C88EC24B34770C0D] - (.ASUS - ATKOSD2.) -- C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe [6859392] [PID.3800]
[MD5.3ECCDD3FE310DD8F82D085447089ADB0] - (.ASUSTek Computer Inc. - ADSMTray.) -- C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMTray.exe [272952] [PID.3660]
[MD5.07E56F90546052D0574355E16AB48A6F] - (.ASUS - AsScrPro.) -- C:\Windows\AsScrPro.exe [3058304] [PID.3556]
[MD5.57B4D34232852BFE4453BE571DF90D21] - (.CyberLink - CyberLink MediaLibray Service.) -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe [103720] [PID.1700]
[MD5.EF01D104449CC654FDCF423C92BD8846] - (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe [275568] [PID.4220]
[MD5.F3F709C2D49DD6636F4EDE5C2CAE5448] - (.https://www.emule-project.net/home/perl/general.cgi?l=1 - eMule.) -- C:\Program Files (x86)\eMule\emule.exe [5758976] [PID.2696]
[MD5.2A43A30EF7FCFD1284F8C3318B784A68] - (.Mozilla Corporation - Plugin Container for Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe [18544] [PID.2832]
[MD5.EB68851F020D35293EADAADEB18B8220] - (.Adobe Systems, Inc. - Adobe Flash Player 11.9 r900.) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_117.exe [1862536] [PID.1656]
[MD5.C5D445474CDE2EA0C01548EEC465EACD] - (.Nicolas Coolman - ZHPDiag.) -- C:\Program Files (x86)\ZHPDiag\ZHPDiag.exe [8164864] [PID.3860]
~ Processes Running: Scanned in 00mn 00s



---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
C:\Users\KIM Sothéa\AppData\Roaming\Mozilla\Firefox\Profiles\dueb7bri.default\prefs.js
P2 - FPN: [HKCU] [@lightspark.github.com/Lightspark;version=1] - (...) -- C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll (.not file.)
~ Firefox Browser: 4 Legitimates Filtered in 00mn 00s



---\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = https://search.safefinder.com/?q= =>Hijacker.SmartBar
~ IE Browser: 19 Legitimates Filtered in 00mn 00s



---\\ Internet Explorer, Proxy Management (R5)
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = no key
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 0
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,EnableHttp1_1 = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigProxy = wininet.dll
~ Proxy management: Scanned in 00mn 00s



---\\ Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
F2 - REG:system.ini: USERINIT=C:\Windows\system32\userinit.exe,
F2 - REG:system.ini: Shell=C:\Windows\explorer.exe
F2 - REG:system.ini: VMApplet=C:\Windows\System32\SystemPropertiesPerformance.exe
~ Keys: Scanned in 00mn 00s



---\\ Hosts file redirection (O1)
~ Le fichier hosts est sain (The hosts file is clean).
~ Hosts File: Scanned in 00mn 00s
~ Nombre de lignes (Lines number): 1287



---\\ Internet Explorer Toolbars (O3)
O3 - Toolbar\WebBrowser: (no name) [64Bits] - [HKCU]{21FA44EF-376D-4D53-9B0F-8A89D3229068} Clé orpheline
~ Toolbar: Scanned in 00mn 00s



---\\ Autres liens utilisateurs (O4)
O4 - GS\Program [Public]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O4 - GS\QuickLaunch [KIM Sothéa]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe
O4 - GS\TaskBar [KIM Sothéa]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O4 - GS\Program [KIM Sothéa]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
O4 - GS\Program [KIM Sothéa]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O4 - GS\SystemTools [KIM Sothéa]: Internet Explorer (No Add-ons).lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
O4 - GS\Desktop [KIM Sothéa]: Incoming - Raccourci.lnk . (...) -- C:\Users\KIM Sothéa\Downloads\eMule\Incoming
~ Global Startup: 49 Legitimates Filtered in 00mn 01s



---\\ Applications lancées au démarrage du sytème (O4)
O4 - GS\Startup [Public]: FancyStart daemon.lnk . (...) -- C:\Windows\Installer\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}\_A1DDD39913A1970387B7B3.exe
O4 - GS\Startup [Public]: SRS Premium Sound.lnk . (.Acresso Software Inc. - InstallShield.) -- C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut5_21C7B668029A47458B27645FE6E4A715.exe
O4 - HKLM\..\Run: [ASUS WebStorage] . (...) -- C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe
O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\Windows\system32\NvCpl.dll =>.NVIDIA Corporation
O4 - HKLM\..\Run: [AmIcoSinglun64] . (.AlcorMicro Co., Ltd. - Single LUN Icon Utility for VID 058F PID 63.) -- C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
O4 - HKLM\..\Run: [UfSeAgnt.exe] . (.Trend Micro Inc. - Trend Micro Server Agent.) -- C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe
O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd (.not file.)
O4 - HKLM\..\Run: [MSC] . (.Microsoft Corporation - Microsoft Security Client User Interface.) -- C:\Program Files\Microsoft Security Client\msseces.exe
O4 - HKCU\..\Run: [RocketDock] . (...) -- C:\Program Files (x86)\RocketDock\RocketDock.exe
O4 - HKLM\..\Wow6432Node\Run: [MDS_Menu] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\Cyberlink\MediaShowEspresso\MUITransfer\MUIStartMenu.exe
O4 - HKLM\..\Wow6432Node\Run: [RemoteControl9] . (.CyberLink Corp. - PowerDVD RC Service.) -- C:\Program Files (x86)\Cyberlink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Wow6432Node\Run: [PDVD9LanguageShortcut] . (.CyberLink Corp. - PowerDVD Language Application.) -- C:\Program Files (x86)\Cyberlink\PowerDVD9\Language\Language.exe
O4 - HKLM\..\Wow6432Node\Run: [UpdatePSTShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\Cyberlink\DVD Suite\MUITransfer\MUIStartMenu.exe
O4 - HKLM\..\Wow6432Node\Run: [UpdateLBPShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe
O4 - HKLM\..\Wow6432Node\Run: [UpdateP2GoShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe
O4 - HKLM\..\Wow6432Node\Run: [HControlUser] . (.ASUS - HControlUser.) -- C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Wow6432Node\Run: [ATKMEDIA] . (.ASUS - ATK Media.) -- C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Wow6432Node\Run: [ATKOSD2] . (.ASUS - ATKOSD2.) -- C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-18\..\RunOnce: [SPReview] . (.Microsoft Corporation - SP Reviewer.) -- C:\Windows\System32\SPReview\SPReview.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-21-1162796141-147342892-3569935038-1001\..\Run: [RocketDock] . (...) -- C:\Program Files (x86)\RocketDock\RocketDock.exe
~ Application: Scanned in 00mn 00s



---\\ Modification Domaine/Adresses DNS (O17)
O17 - HKLM\System\CCS\Services\Tcpip\..\{042E4ABD-3F1C-4D11-B4FF-2EEEA9964957}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS1\Services\Tcpip\..\{042E4ABD-3F1C-4D11-B4FF-2EEEA9964957}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS2\Services\Tcpip\..\{042E4ABD-3F1C-4D11-B4FF-2EEEA9964957}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.241 212.27.40.240
~ Domain: Scanned in 00mn 00s



---\\ Protocole additionnel (O18)
O18 - Handler: wlmailhtml [64Bits] - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} . (...) --
O18 - Filter: text/xml [64Bits] - {807563E5-5146-11D5-A672-00B0D022E945} . (.Microsoft Corporation - Microsoft Office XML MIME Filter.) -- C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.dll =>.Microsoft Corporation
~ Protocole Additionnel: Scanned in 00mn 00s



---\\ Tâches planifiées en automatique (O39)
[MD5.00000000000000000000000000000000] [APT] [{B48184F8-A800-4893-A01D-8F25B056B777}] (...) -- C:\Users\KIM Sothéa\Downloads\avast_free_antivirus_setup.exe (.not file.) [0]
~ Scheduled Task: 10 Legitimates Filtered in 00mn 05s



---\\ Logiciels installés (O42)
O42 - Logiciel: Extended Update - (...) [HKCU][64Bits] -- UpdaterEX =>PUP.Dealply
~ Logic: 96 Legitimates Filtered in 00mn 00s



---\\ HKCU & HKLM Software Keys
[HKCU\Software\AmiExt]
[HKCU\Software\ForumerIT] =>Toolbar.Forumer
~ Key Software: 144 Legitimates Filtered in 00mn 00s



---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 - CFD: 02/11/2013 - 16:24:29 - [0] ----D C:\Program Files (x86)\AmiExt
O43 - CFD: 29/09/2013 - 08:45:12 - [1,063] ----D C:\Users\KIM Sothéa\AppData\Roaming\0F1F1C2Y1H1P1C0I0T
O43 - CFD: 27/04/2013 - 21:59:14 - [0,381] ----D C:\Users\KIM Sothéa\AppData\Roaming\Exef
O43 - CFD: 26/10/2012 - 07:29:11 - [0,812] ----D C:\Users\KIM Sothéa\AppData\Roaming\hellomoto
O43 - CFD: 29/09/2013 - 12:30:47 - [0] ----D C:\Users\KIM Sothéa\AppData\Roaming\Reoqa
O43 - CFD: 29/09/2013 - 13:44:40 - [0] ----D C:\Users\KIM Sothéa\AppData\Roaming\Saoly
~ Program Folder: 120 Legitimates Filtered in 00mn 18s



---\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 - LFC:[MD5.6BCAF46E2B7FA9ACE92B4D39F3037C5C] - 02/11/2013 - 16:58:50 ---A- . (...) -- C:\Windows\SysNative\acovcnt.exe [45056]
O44 - LFC:[MD5.6BCAF46E2B7FA9ACE92B4D39F3037C5C] - 02/11/2013 - 16:58:50 ---A- . (...) -- C:\Windows\System32\acovcnt.exe [45056]
~ Files: 16 Legitimates Filtered in 00mn 07s



---\\ Derniers fichiers créés dans Windows Prefetcher (O45)
O45 - LFCP:[MD5.981696101514D14B2BE5138821CE70A5] - 02/11/2013 - 16:15:14 ---A- - C:\Windows\Prefetch\SCTMP.EXE-E5A877E2.pf
O45 - LFCP:[MD5.3D42EB84D24D31EDB7D8AD5BF525A7E1] - 02/11/2013 - 16:15:36 ---A- - C:\Windows\Prefetch\AMT_QONE8.EXE-73564B0B.pf =>Hijacker.Qone8
O45 - LFCP:[MD5.3C187B67BA92F388E3E44D76DB6987AF] - 02/11/2013 - 16:16:00 ---A- - C:\Windows\Prefetch\BAOFENG.EXE-BBB26569.pf
O45 - LFCP:[MD5.F3C2489A6DC6BBB12EB4E2E7701820C1] - 02/11/2013 - 16:20:24 ---A- - C:\Windows\Prefetch\FLASHENHANCERINSTALLER.EXE-C6629BBC.pf
O45 - LFCP:[MD5.AF69858FC84FF51DCC3743F2C04FEFF4] - 02/11/2013 - 16:20:28 ---A- - C:\Windows\Prefetch\FEBUNDLE.EXE-715DBA00.pf
O45 - LFCP:[MD5.2B41B85BCD7C7A82B4A01E5C4D4512B6] - 02/11/2013 - 16:20:36 ---A- - C:\Windows\Prefetch\LIGHTSPARK-0.5.3-WIN32.EXE-7EBAFEF6.pf
O45 - LFCP:[MD5.B9B76FED16359E467FFE32574F1873AC] - 02/11/2013 - 16:24:29 ---A- - C:\Windows\Prefetch\AMISTORAGE.EXE-8ADF2CC5.pf
O45 - LFCP:[MD5.12CC43C02B04B3E5872AA889D99C9D15] - 02/11/2013 - 17:15:27 ---A- - C:\Windows\Prefetch\EMULE.EXE-5E139ED9.pf
~ Prefetcher: 108 Legitimates Filtered in 00mn 00s



---\\ Clé de registre Shell MountPoints2 (MPKS) (O51)
O51 - MPSK:{f264653d-12d1-11e1-9350-485b39508993}\AutoRun\command. (...) -- H:\Startme.exe (.not file.)
~ Keys: Scanned in 00mn 00s



---\\ Enumération des clés de registre PoliciesSystem (MWPS) (O55)
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
~ MWPS: 16 Legitimates Filtered in 00mn 00s



---\\ Enumération des clés de registre PoliciesExplorer (MWPE) (O56)
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1
~ MWPE Keys: 4 Legitimates Filtered in 00mn 00s



---\\ Liste des pilotes du système (SDL) (O58)
O58 - SDL:[MD5.0E5DA5369A0FCAEA12456DD852545184] - 14/07/2009 - 02:47:48 ---A- . (.Emulex - Storport Miniport Driver for LightPulse HBAs.) -- C:\Windows\System32\Drivers\elxstor.sys [530496]
~ Drivers: 16 Legitimates Filtered in 00mn 01s



---\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 - LFC: 01/11/2013 - 02:32:57 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Local\Mozilla\updates\E7CF176E110C211B\active-update.xml [57]
O61 - LFC: 01/11/2013 - 02:32:57 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Local\Mozilla\updates\E7CF176E110C211B\updates.xml [1508]
O61 - LFC: 02/11/2013 - 02:33:10 ---A- . (...) -- C:\Users\KIM Sothéa\Downloads\adwcleaner.exe [1060070]
O61 - LFC: 03/11/2013 - 02:33:10 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Roaming\ZHP\Log.txt [16649] =>.Nicolas Coolman
O61 - LFC: 03/11/2013 - 02:33:10 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Roaming\ZHP\TestsZHPDiag.txt [2986] =>.Nicolas Coolman
~ 10 Fichiers temporaires (Temporary files)
~ Files: 120 Legitimates Filtered in 00mn 15s



---\\ Liste des outils de désinfection (LATC) (O63)
O63 - Logiciel: ZHPDiag 2013 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1 =>.Nicolas Coolman
~ ADS: Scanned in 00mn 00s



---\\ Menu de démarrage Internet (SMI) (O68)
O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe
~ Keys: Scanned in 00mn 00s



---\\ Recherche d'infection sur les navigateurs internet (SBI) (O69)
O69 - SBI: SearchScopes [HKCU] ${searchCLSID} - (@ieframe.dll,-12512) - https://www.bing.com/?fdr=lc&toHttps=1&redig=FA6AD360E0BE4C719380F8C470A3D3A8
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (Bing) - https://www.bing.com/?toHttps=1&redig=69DA0EF8272048D9864AF4DB37211DE8
~ Keys: Scanned in 00mn 00s



---\\ Recherche particulière à la racine du système (SPRF) (O84)
[MD5.1FE339E72FE03A27DD9D5A9A357CFE7D] [SPRF][24/12/2009] (...) -- C:\ProgramData\FullRemove.exe [131368]
[MD5.47025DD5CBA8B43E9D26C960FF5B32A7] [SPRF][19/10/2013] (...) -- C:\Users\KIM Sothéa\AppData\Local\Temp\Quarantine.exe [344355]
~ Files: 2 Legitimates Filtered in 00mn 00s



---\\ Liste des exceptions du parefeu (FirewallRules) (O87)
O87 - FAEL: "TCP Query User{27F86219-0820-4508-BF03-285FA16897FD}C:\users\kim sothéa\appdata\roaming\saoly\irme.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\kim sothéa\appdata\roaming\saoly\irme.exe (.not file.)
O87 - FAEL: "UDP Query User{0FE9AFA1-61EA-472C-A8A9-BB672ED562D6}C:\users\kim sothéa\appdata\roaming\saoly\irme.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\kim sothéa\appdata\roaming\saoly\irme.exe (.not file.)
~ Firewall: 200 Legitimates Filtered in 00mn 01s



---\\ Recherche des packages WindowsInstaller (WIS) (O93) (NTFS)
[MD5.AB790584FC5F6F1FC4C8F9415075AF34] [WIS][18/04/2010] (.DeviceVM, Inc. - Blank Project Template.) -- C:\Windows\Installer\22a43.msi [319286272]
~ WIS: 175 Legitimates Filtered in 00mn 18s



---\\ Etat général des services not Microsoft (EGS) (SR=Running, SS=Stopped)
SS - | Demand 09/10/2013 257416 | (AdobeFlashPlayerUpdateSvc) . (.Adobe Systems Incorporated.) - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
SR - | Demand 31/03/2008 225280 | (ADSMService) . (.ASUSTek Computer Inc..) - C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMSrv.exe
SR - | Auto 17/09/2009 359552 | (AFBAgent) . (.ASUSTeK Computer Inc..) - C:\Windows\system32\FBAgent.exe
SR - | Auto 16/06/2009 84536 | (ASLDRService) . (.ASUS.) - C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe
SR - | Auto 08/08/2007 94208 | (ATKGFNEXSrv) . (...) - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
SS - | Demand 30/10/2013 119408 | (MozillaMaintenance) . (.Mozilla Foundation.) - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
SR - | Auto 23/10/2009 382568 | (nvsvc) . (.NVIDIA Corporation.) - C:\Windows\system32\nvvsvc.exe
SR - | Demand 27/05/2009 244904 | (RichVideo) . (...) - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
SR - | Auto 09/10/2010 859712 | (SfCtlCom) . (.Trend Micro Inc..) - C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe
SR - | Auto 23/10/2009 239720 | (Stereo Service) . (.NVIDIA Corporation.) - C:\Windows\SysWOW64\nvSCPAPISvr.exe
SS - | Demand 29/09/2009 570632 | (TMBMServer) . (.Trend Micro Inc..) - C:\Program Files\Trend Micro\BM\TMBMSRV.exe
SS - | Demand 29/09/2009 917768 | (TmProxy) . (.Trend Micro Inc..) - C:\Program Files\Trend Micro\Internet Security\TmProxy.exe
SS - | Demand 14/07/2009 27136 | C:\Program Files (x86)\Windows Defender\mpsvc.dll (WinDefend) . (.Microsoft Corporation.) - C:\Windows\System32\svchost.exe
SR - | Auto 10/07/1658 0 | (WMPNetworkSvc) . (...) - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe =>.Microsoft Corporation
SR - | Auto 14/07/2009 27136 | C:\Windows\System32\wuaueng.dll (wuauserv) . (.Microsoft Corporation.) - C:\Windows\System32\svchost.exe
~ Services: Scanned in 00mn 21s



---\\ Recherche d'infection sur le Master Boot Record (MBR)(O80)
Run by KIM Sothéa at 03/11/2013 02:33:48
~ OS 64 not supported by MBR tool
~ MBR: 0 Legitimates Filtered in 00mn 00s



---\\ Recherche d'infection sur le Master Boot Record (MBRCheck)(O80)
Written by ad13, http://ad13.geekstog
Run by KIM Sothéa at 03/11/2013 02:33:51

********* Dump file Name *********
C:\PhysicalDisk0_MBR.bin
~ MBR: Scanned in 00mn 02s



---\\ Scan Additionnel (O88)
Database Version : 12965 - (02/11/2013)
Clés trouvées (Keys found) : 3
Valeurs trouvées (Values found) : 0
Dossiers trouvés (Folders found) : 1
Fichiers trouvés (Files found) : 1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\UpdaterEX] =>PUP.Dealply^
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32] =>Toolbar.Bing
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC] =>Adware.Boxore^
C:\Users\KIM Sothéa\AppData\Local\Software =>Adware.Boxore
[HKCU\Software\ForumerIT] =>Toolbar.Forumer^
~ Additionnel Scan: 262214 Items scanned in 00mn 23s



---\\ Récapitulatif des détections trouvées sur votre station
~ http://nicolascoolman.webs.com/apps/blog/show/26990375-hijacker-smartbar =>Hijacker.SmartBar
~ http://nicolascoolman.webs.com/apps/blog/show/28060597-pup-dealply =>PUP.DealPly
~ http://nicolascoolman.webs.com/apps/blog/show/32729139-toolbar-forumer =>Toolbar.Forumer
~ http://nicolascoolman.webs.com/apps/blog/show/33262880-hijacker-qone8 =>Hijacker.Qone8
~ http://nicolascoolman.webs.com/apps/blog/show/31536787-toolbar-bing =>Toolbar.Bing
~ http://nicolascoolman.webs.com/apps/blog/show/26626977-adware-boxore =>Adware.Boxore
~ MSI: 6 link(s) detected in 00mn 23s



~ 1227 Legitimates filtered by white list
End of the scan (423 lines in 02mn 21s)(0)
0
Réponse 7 / 40
BENDER2.0 Messages postés 5 Date d'inscription samedi 2 novembre 2013 Statut Membre Dernière intervention 3 novembre 2013
3 nov. 2013 à 02:51
https://www.cjoint.com/c/CKdcQhH05mf

Bonsoir Electricien 69, je pensais en avoir fini avec ce virus et n'ai pas vu ton autre message

Donc je viens de te poster le rapport ZHPdiag, ainsi que le lien à l'hébergeur cijoint

Et encore merci,
BENDER2.0

PS: Quand tu dis d'effacer les outils c'est ADWcleaner et ZHPdiag ?
0
Réponse 8 / 40
Utilisateur anonyme
3 nov. 2013 à 09:01
bonjour,
ça m'aurait étonné que le truc lâche si facilement !


regarde dans la liste des programmes installés sur ton pc dans le panneau de configuration, si tu trouve Microsoft Security Client, à désinstaller !


Vire Emule, c'est la source des infections ! il tourne en ce moment sur ton pc !!!



installe la dernière version d'Adobe reader depuis son site dédié , décoche la barre Google proposée avant de lancer l'installation !





* /!\ Avertissement /!\,
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !

* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue.

/!\Utilisateur de Vista, Seven et W8 :

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

Clique sur « importer »

Tu vas voir apparaitre un message d'avertissement, clique sur Ok.

* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
---------------------------------------------------------
Script ZHPFix
[HKCU\Software\ForumerIT]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
[HKCU\Software\ForumerIT]
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = https://search.safefinder.com/?q=
O42 - Logiciel: Extended Update - (...) [HKCU][64Bits] -- UpdaterEX
O45 - LFCP:[MD5.3D42EB84D24D31EDB7D8AD5BF525A7E1] - 02/11/2013 - 16:15:36 ---A- - C:\Windows\Prefetch\AMT_QONE8.EXE-73564B0B.pf
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\UpdaterEX]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]
C:\Users\KIM Sothéa\AppData\Local\Software
ShortcutFix
Emptytemp
EmptyClsid



----------------------------------------------------------


- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- - Héberge le rapport ZHPFIX.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
https://www.cjoint.com/ => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers



Tuto en bas de cette page :
http://nicolascoolman.webs.com/tutorials.htm

0
Réponse 9 / 40
BENDER2.0
3 nov. 2013 à 12:24
Bonjour Electricien 69, voici le lien cjoint du rapport ZHP fix : http://cjoint.com/?CKdmsX2Yhkk

Bonne Journée
0
Réponse 10 / 40
Utilisateur anonyme
3 nov. 2013 à 12:56
redémarre le pc et essaie de voir si tu as encore Qone8 !

si c'est le cas, avec quel navigateur ?


0
Réponse 11 / 40
BENDER2.0
3 nov. 2013 à 13:11
Re,

Pour l'instant rien à signaler

En attendant, encore merci
0
Réponse 12 / 40
Utilisateur anonyme
3 nov. 2013 à 13:28
ok, suite ,

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://fr.malwarebytes.com/mwb-download/
ou :

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


Si tu l'as déjà sur ton pc, pas la peine de le retélécharger.

/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur édition en haut du boc notes, et puis sur sélectionner tous
. tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

0
Réponse 13 / 40
BENDER2.0
3 nov. 2013 à 16:29
Re Electricien 69

Voici le rapport de Malwarebytes après scan :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.11.03.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
KIM Sothéa :: PCPK0911 [administrateur]

Protection: Activé

03/11/2013 14:04:58
mbam-log-2013-11-03 (14-04-58).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 338153
Temps écoulé: 1 heure(s), 55 minute(s), 32 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Search|Default_Search_URL (PUP.Optional.Snapdo) -> Mauvais: (http://feed.snapdo.com/?publisher=TightropeYB&dpid=TightropeYB&co=FR&userid=3baa4344-f2e8-abef-e905-210bb9f7fddb&searchtype=ds&q={searchTerms}&installDate=29/09/2013) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 1
C:\Users\KIM Sothéa\AppData\Roaming\hellomoto (Trojan.Ransom.FGen) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 2
C:\Users\KIM Sothéa\AppData\Roaming\hellomoto\TujP.dat (Trojan.Ransom.FGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\KIM Sothéa\AppData\Roaming\hellomoto\BukF.dat (Trojan.Ransom.FGen) -> Mis en quarantaine et supprimé avec succès.

(fin)

Cordialement,
BENDER2.0
0
Réponse 14 / 40
Utilisateur anonyme
3 nov. 2013 à 16:43
redémarre de nouveau le pc et si le pc fonctionne correctement, on lance la suite et fin :D



0
Réponse 15 / 40
BENDER2.0
Modifié par BENDER2.0 le 3/11/2013 à 17:08
Ca y est, j'ai redémarré avant de t'envoyer le rapport malwarebytes,
J'attends tes instructions ;)
0
Réponse 16 / 40
Utilisateur anonyme
3 nov. 2013 à 17:08
il fonctionne correctement ?


0
Réponse 17 / 40
BENDER2.0
3 nov. 2013 à 17:11
Oui ça a l'air de fonctionner, aucune trace de Qone8 ni dans firefox ni dans internet explorer
0
Réponse 18 / 40
Utilisateur anonyme
3 nov. 2013 à 17:35
super,

la suite et fin :


* pour désinstaller les outils de désinfection
:
Télécharge Delfix sur ton bureau :

ICI

ou



Coche les cases suivantes :
=> Réactive l'Uac (juste pour Vista, Seven et W8)
=> Supprimer les outils de désinfection (coché par défaut)
=> Purger la restauration système


* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport
** le rapport est stocké à cet emplacement : C:\DelFix.txt
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.







* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

0
Réponse 19 / 40
BENDER2.0
3 nov. 2013 à 17:46
Electricien 69, voici le rapport Delfix :

# DelFix v10.5 - Rapport créé le 03/11/2013 à 17:44:25
# Mis à jour le 17/10/2013 par Xplode
# Nom d'utilisateur : KIM Sothéa - PCPK0911
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\KIM Sothéa\Downloads\adwcleaner.exe
Supprimé : C:\Users\KIM Sothéa\Downloads\ZHPDiag2(1).exe
Supprimé : C:\Users\KIM Sothéa\Downloads\ZHPDiag2.exe

~ Purge de la restauration système ...

Supprimé : RP #417 [Windows Update | 11/03/2013 11:42:50]

Nouveau point de restauration créé !

########## - EOF - ##########
0
Réponse 20 / 40
Utilisateur anonyme
3 nov. 2013 à 17:52
* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)
0

Discussions similaires

Start pxe over ipv4
Grigori -
Malekal_morte- -

3 réponses
impossible de désinstaller Microsoft start
Utilisateur anonyme -
Felix -

25 réponses
Start PXE over IPv4
Cathy -
Cathy -

4 réponses
imprimante HP
lou -
MPMP10 -

3 réponses
Microsoft Start
Couleur -
canard_idf -

14 réponses