Sujet Précédent Sujet Suivant

Infecté par start qone8

Fermé
BENDER2.0 Messages postés 5 Date d'inscription samedi 2 novembre 2013 Statut Membre Dernière intervention 3 novembre 2013 - 2 nov. 2013 à 16:55
 Utilisateur anonyme - 5 nov. 2013 à 19:25
Bonjour à toutes et à tous,

Je suis infecté depuis ce matin par le virus start qone8, chaque fois que je lance firefox je me retrouve avec une autre page d'accueil, en l'occurence start qone8.

J'ai téléchargé Adwcleaner, et voici le rapport obtenu :


# AdwCleaner v3.010 - Rapport créé le 02/11/2013 à 16:32:10
# Mis à jour le 20/10/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : KIM Sothéa - PCPK0911
# Exécuté depuis : C:\Users\KIM Sothéa\Downloads\adwcleaner.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Présent C:\Program Files (x86)\BonanzaDeals
Dossier Présent C:\Users\KIM Sothéa\AppData\Roaming\UpdaterEX
Fichier Présent : C:\Program Files (x86)\Mozilla Firefox\searchplugins\qone8.xml
Fichier Présent : C:\Users\KIM Sothéa\AppData\Roaming\Mozilla\Firefox\Profiles\dueb7bri.default\user.js
Fichier Présent : C:\Windows\System32\Tasks\Advanced System Protector_startup
Fichier Présent : C:\Windows\System32\Tasks\UpdaterEX
Fichier Présent : C:\Windows\Tasks\UpdaterEX.job

***** [ Raccourcis ] *****

Raccourci Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )
Raccourci Présent : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk ( hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7 )

***** [ Registre ] *****

Clé Présente : HKCU\Software\BonanzaDealsLive
Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{323420B6-65E5-4657-8106-A27392D4D4AA}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{323420B6-65E5-4657-8106-A27392D4D4AA}
Clé Présente : [x64] HKCU\Software\BonanzaDealsLive
Clé Présente : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Présente : HKLM\Software\BonanzaDealsLive
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Présente : HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BonanzaDealsLive.exe
Clé Présente : HKLM\Software\qone8Software
Clé Présente : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Donnée Présente : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command [(Default)] - "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Donnée Présente : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command [(Default)] - C:\Program Files\Internet Explorer\iexplore.exe hxxp://start.qone8.com/?type=sc&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16720

Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://start.qone8.com/web/?type=ds&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7&q={searchTerms}
Paramètre Présent : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] - hxxp://start.qone8.com/web/?type=ds&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7&q={searchTerms}
Paramètre Présent : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] - hxxp://start.qone8.com/web/?type=ds&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7&q={searchTerms}
Paramètre Présent : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page] - hxxp://start.qone8.com/?type=hp&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7
Paramètre Présent : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Search Page] - hxxp://start.qone8.com/web/?type=ds&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7&q={searchTerms}

-\\ Mozilla Firefox v25.0 (fr)

[ Fichier : C:\Users\KIM Sothéa\AppData\Roaming\Mozilla\Firefox\Profiles\dueb7bri.default\prefs.js ]

Ligne Trouvée : user_pref("browser.newtab.url", "hxxp://start.qone8.com/newtab/?type=nt&ts=1383405359&from=amt&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7");
Ligne Trouvée : user_pref("browser.search.defaultenginename", "qone8");
Ligne Trouvée : user_pref("browser.search.selectedEngine", "qone8");
Ligne Trouvée : user_pref("extensions.LinkSwift.aul", "1381380502250");
Ligne Trouvée : user_pref("extensions.LinkSwift.irl", true);
Ligne Trouvée : user_pref("extensions.LinkSwift.is", "trlsfr");
Ligne Trouvée : user_pref("extensions.LinkSwift.ug", "0777A082-37B8-495A-B4F9-0B44758CC2F0");

*************************

AdwCleaner[R0].txt - [9884 octets] - [08/10/2013 06:57:36]
AdwCleaner[R1].txt - [1026 octets] - [08/10/2013 07:30:06]
AdwCleaner[R2].txt - [1147 octets] - [08/10/2013 17:45:35]
AdwCleaner[R3].txt - [1267 octets] - [09/10/2013 05:08:58]
AdwCleaner[R4].txt - [1388 octets] - [09/10/2013 05:18:47]
AdwCleaner[R5].txt - [6910 octets] - [02/11/2013 16:32:10]
AdwCleaner[S0].txt - [9280 octets] - [08/10/2013 06:58:50]
AdwCleaner[S1].txt - [1089 octets] - [08/10/2013 07:31:18]
AdwCleaner[S2].txt - [1210 octets] - [08/10/2013 17:46:33]
AdwCleaner[S3].txt - [1330 octets] - [09/10/2013 05:15:58]

########## EOF - C:\AdwCleaner\AdwCleaner[R5].txt - [7210 octets] ##########




<config>Windows 7 / Firefox 25.0</confi

Voilà, j'éspère que quelqu'un pourra m'aider à enlever ce virus de mon PC,
en vous remerciant, Bender 2.0

40 réponses

Précédent
  • 1
  • 2
Réponse 21 / 40
BENDER2.0
3 nov. 2013 à 17:52
Mon antivirus est Trend Micro Internet Security, je n'arrive pas à l'activer, je vais donc le désinstaller et télécharger la version gratuite d'Avast

Je te tiens au courant après le scan

BENDER2.0
0
Réponse 22 / 40
Utilisateur anonyme
3 nov. 2013 à 17:53
ok,

mais attention, avast a des partenariats avec Ask !

tout comme avira !



0
Réponse 23 / 40
BENDER2.0
3 nov. 2013 à 19:59
Electricien 69,

J'ai téléchargé la version gratuite d'Avast 2014, un message s'ouvre "fail to load language dII"

???

J'ai désinstallé Avast via Avastclear, je me retrouve donc sans antivirus, que dois-je faire ?

BENDER2.0
0
Réponse 24 / 40
Utilisateur anonyme
3 nov. 2013 à 20:17
pas de panique !

regarde ici :

https://www.avast.com/fr-fr/download-thank-you.php?product=FA-AVAST&locale=fr-fr
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 40
BENDER2.0
3 nov. 2013 à 20:37
Aie, Qone8 est revenu sur ma page d'accueil lorsque j'ai lancé firefox, j'avoue que là je commence à désespérer...

BENDER2.0
0
Réponse 26 / 40
Utilisateur anonyme
3 nov. 2013 à 20:39
mais non, réinitialise les paramètres de FF, tu verras, il disparait pour toujours !


0
Réponse 27 / 40
BENDER2.0
Modifié par BENDER2.0 le 3/11/2013 à 20:49
Electricien 69,

Que veux dire "réinitialise les paramètres de FF" ?
J'ai re-téléchargé Avast via ton lien envoyé dans un précedent message : la meme fenetre s'affiche "Fail to load language..."

BENDER2.0
0
Réponse 28 / 40
Utilisateur anonyme
3 nov. 2013 à 20:50
tu as choisis quelle langue pour l'installation ?


0
Réponse 29 / 40
BENDER2.0
Modifié par BENDER2.0 le 3/11/2013 à 21:08
Quand j'ai ouvert Avast, tout était en français, je n'ai pas le souvenir d'avoir eu à choisir un pays
0
Réponse 30 / 40
BENDER2.0
3 nov. 2013 à 21:31
Electricien 69,

Alors j'ai désinstallé Avast et téléchargé un autre antivirus par microsoft security essentials, je vais tout refaire en repartant de zéro : adwcleaner etc...

Je te tiens au courant

Cordialement,
BENDER2.0
0
Réponse 31 / 40
BENDER2.0
3 nov. 2013 à 21:57
Electricien 69,

Rapport ADWcleaner :

# AdwCleaner v3.010 - Rapport créé le 03/11/2013 à 21:51:34
# Mis à jour le 20/10/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : KIM Sothéa - PCPK0911
# Exécuté depuis : C:\Users\KIM Sothéa\Downloads\adwcleaner-3.010.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\BoxUpdChk
Dossier Supprimé : C:\ProgramData\eSafe
Dossier Supprimé : C:\Program Files (x86)\Nosibay
Dossier Supprimé : C:\Users\KIMSOT~1\AppData\Local\Temp\eIntaller
Dossier Supprimé : C:\Users\KIMSOT~1\AppData\Local\Temp\Iminent
Dossier Supprimé : C:\Users\KIM Sothéa\AppData\Roaming\Nosibay
Dossier Supprimé : C:\Program Files (x86)\Software
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\qone8.xml
Fichier Supprimé : C:\Windows\System32\Tasks\BoxSoftwareUpdate

***** [ Raccourcis ] *****

Raccourci Désinfecté : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
Raccourci Désinfecté : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk

***** [ Registre ] *****

Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WsysSvc
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{23AF19F7-1D5B-442C-B14C-3D1081953C94}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command
Donnée Restaurée : HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command
Clé Supprimée : HKCU\Software\Nosibay
Clé Supprimée : HKCU\Software\Offerbox
Clé Supprimée : HKLM\Software\Boxore
Clé Supprimée : HKLM\Software\Iminent
Clé Supprimée : HKLM\Software\qone8Software

***** [ Navigateurs ] *****

-\\ Internet Explorer v10.0.9200.16720

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL]
Paramètre Restauré : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Start Page]

-\\ Mozilla Firefox v25.0 (fr)

[ Fichier : C:\Users\KIM Sothéa\AppData\Roaming\Mozilla\Firefox\Profiles\dueb7bri.default\prefs.js ]

Ligne Supprimée : user_pref("browser.newtab.url", "hxxp://start.qone8.com/newtab/?type=nt&ts=1383506730&from=adks&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7");
Ligne Supprimée : user_pref("browser.search.defaultenginename", "qone8");
Ligne Supprimée : user_pref("browser.search.selectedEngine", "qone8");
Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://start.qone8.com/?type=hp&ts=1383506730&from=adks&uid=ST9500325AS_5VE9JVM7XXXX5VE9JVM7");

-\\ Google Chrome v

[ Fichier : C:\Users\KIM Sothéa\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [5780 octets] - [03/11/2013 21:50:51]
AdwCleaner[S0].txt - [4084 octets] - [03/11/2013 21:51:34]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [4144 octets] ##########
0
Réponse 32 / 40
BENDER2.0
3 nov. 2013 à 22:05
Voici le rapport ZHPDiag et le lien d'hébergement Cjoint :

~ Rapport de ZHPDiag v2013.11.1.2 - Nicolas Coolman (02/11/2013)
~ Lancé par KIM Sothéa (03/11/2013 22:00:43)
~ Adresse du Site Web http://nicolascoolman.webs.com
~ Forums gratuits d'Assistance à la désinfection : http://nicolascoolman.webs.com/apps/links/
~ Traduit par Nicolas Coolman
~ Etat de la version :
~ Liste blanche : Activée par le programme
~ Elévation des Privilèges : OK
~ User Account Control (UAC): Activate by user


---\\ Navigateurs Internet
MSIE: Internet Explorer v10.0.9200.16721
MFIE: Mozilla Firefox 25.0 (Defaut)

---\\ Informations sur les produits Windows
~ Langage: Français
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Windows Server License Manager Script : OK

---\\ Logiciels de protection du système
Malwarebytes Anti-Malware version 1.75.0.1300
Microsoft Security Client v4.3.0219.0
Windows Defender W7

---\\ Logiciels d'optimisation du système

---\\ Logiciels de partage PeerToPeer
eMule

---\\ Surveillance de Logiciels
Adobe Flash Player 11 Plugin
Adobe Reader XI

---\\ Informations sur le système
~ Processor: Intel64 Family 6 Model 23 Stepping 10, GenuineIntel
~ Operating System: 64 Bits
Boot mode: Normal (Normal boot)
Total RAM: 4095 MB (55% free)
System Restore: Activé (Enable)
System drive C: has 9 GB (7%) free of 116 GB

---\\ Mode de connexion au système
~ Computer Name: PCPK0911
~ User Name: KIM Sothéa
~ All Users Names: KIM Sothéa, HomeGroupUser$, Administrateur,
~ Unselected Option: None
Logged in as Administrator

---\\ Variables d'environnement
~ System Unit : C:\
~ %AppZHP% : C:\Users\KIM Sothéa\AppData\Roaming\ZHP\
~ %AppData% : C:\Users\KIM Sothéa\AppData\Roaming\
~ %Desktop% : C:\Users\KIM Sothéa\Desktop\
~ %Favorites% : C:\Users\KIM Sothéa\Favorites\
~ %LocalAppData% : C:\Users\KIM Sothéa\AppData\Local\
~ %StartMenu% : C:\Users\KIM Sothéa\AppData\Roaming\Microsoft\Windows\Start Menu\
~ %Windir% : C:\Windows\
~ %System% : C:\Windows\System32\

---\\ Enumération des unités disques
C: Hard drive, Flash drive, Thumb drive (Free 9 Go of 116 Go)
D: Hard drive, Flash drive, Thumb drive (Free 333 Go of 333 Go)
E: CD-ROM drive (Not Inserted)
F: Hard drive, Flash drive, Thumb drive (Free 233 Go of 233 Go)
G: Hard drive, Flash drive, Thumb drive (Free 233 Go of 233 Go)



---\\ Etat du Centre de Sécurité Windows
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
~ Security Center: 46 Legitimates Filtered in 00mn 00s



---\\ Recherche particulière de fichiers génériques
[MD5.AC4C51EB24AA95B77F705AB159189E24] - (.Microsoft Corporation - Explorateur Windows.) (.20/11/2010 - 14:24:45.) -- C:\Windows\Explorer.exe [2872320]
[MD5.94355C28C1970635A31B3FE52EB7CEBA] - (.Microsoft Corporation - Application de démarrage de Windows.) (.14/07/2009 - 02:39:52.) -- C:\Windows\System32\Wininit.exe [129024]
[MD5.D28B35DE88D27EFB27DF4B1E8319E3C0] - (.Microsoft Corporation - Extensions Internet pour Win32.) (.22/09/2013 - 23:55:10.) -- C:\Windows\System32\wininet.dll [2241024]
[MD5.1151B1BAA6F350B1DB6598E0FEA7C457] - (.Microsoft Corporation - Application d'ouverture de session Windows.) (.20/11/2010 - 14:25:30.) -- C:\Windows\System32\Winlogon.exe [390656]
[MD5.067FA52BFB59A56110A12312EF9AF243] - (.Microsoft Corporation - Bibliothèque de licences.) (.20/11/2010 - 14:27:26.) -- C:\Windows\System32\sppcomapi.dll [232448]
[MD5.1C7857B62DE5994A75B054A9FD4C3825] - (.Microsoft Corporation - Ancillary Function Driver for WinSock.) (.28/12/2011 - 04:59:24.) -- C:\Windows\system32\Drivers\AFD.sys [498688]
[MD5.02062C0B390B7729EDC9E69C680A6F3C] - (.Microsoft Corporation - ATAPI IDE Miniport Driver.) (.14/07/2009 - 02:52:21.) -- C:\Windows\system32\Drivers\atapi.sys [24128]
[MD5.B8BD2BB284668C84865658C77574381A] - (.Microsoft Corporation - CD-ROM File System Driver.) (.14/07/2009 - 00:19:47.) -- C:\Windows\system32\Drivers\Cdfs.sys [92160]
[MD5.F036CE71586E93D94DAB220D7BDF4416] - (.Microsoft Corporation - SCSI CD-ROM Driver.) (.20/11/2010 - 10:19:21.) -- C:\Windows\system32\Drivers\Cdrom.sys [147456]
[MD5.9BB2EF44EAA163B29C4A4587887A0FE4] - (.Microsoft Corporation - DFS Namespace Client Driver.) (.20/11/2010 - 10:26:32.) -- C:\Windows\system32\Drivers\DfsC.sys [102400]
[MD5.97BFED39B6B79EB12CDDBFEED51F56BB] - (.Microsoft Corporation - High Definition Audio Bus Driver.) (.20/11/2010 - 11:43:43.) -- C:\Windows\system32\Drivers\HDAudBus.sys [122368]
[MD5.FA55C73D4AFFA7EE23AC4BE53B4592D3] - (.Microsoft Corporation - Pilote de port i8042.) (.14/07/2009 - 00:19:57.) -- C:\Windows\system32\Drivers\i8042prt.sys [105472]
[MD5.AF9B39A7E7B6CAA203B3862582E9F2D0] - (.Microsoft Corporation - IP Network Address Translator.) (.14/07/2009 - 01:10:03.) -- C:\Windows\system32\Drivers\IpNat.sys [116224]
[MD5.A5D9106A73DC88564C825D317CAC68AC] - (.Microsoft Corporation - Windows NT SMB Minirdr.) (.27/04/2011 - 03:40:40.) -- C:\Windows\system32\Drivers\MRxSmb.sys [158208]
[MD5.09594D1089C523423B32A4229263F068] - (.Microsoft Corporation - MBT Transport driver.) (.20/11/2010 - 10:23:20.) -- C:\Windows\system32\Drivers\netBT.sys [261632]
[MD5.B98F8C6E31CD07B2E6F71F7F648E38C0] - (.Microsoft Corporation - Pilote du système de fichiers NT.) (.12/04/2013 - 15:45:08.) -- C:\Windows\system32\Drivers\ntfs.sys [1656680]
[MD5.0086431C29C35BE1DBC43F52CC273887] - (.Microsoft Corporation - Pilote de port parallèle.) (.14/07/2009 - 01:00:41.) -- C:\Windows\system32\Drivers\Parport.sys [97280]
[MD5.471815800AE33E6F1C32FB1B97C490CA] - (.Microsoft Corporation - RAS L2TP mini-port/call-manager driver.) (.20/11/2010 - 11:52:35.) -- C:\Windows\system32\Drivers\Rasl2tp.sys [129536]
[MD5.548260A7B8654E024DC30BF8A7C5BAA4] - (.Microsoft Corporation - SMB Transport driver.) (.14/07/2009 - 01:09:09.) -- C:\Windows\system32\Drivers\smb.sys [93184]
[MD5.DDAD5A7AB24D8B65F8D724F5C20FD806] - (.Microsoft Corporation - TDI Translation Driver.) (.20/11/2010 - 10:21:56.) -- C:\Windows\system32\Drivers\tdx.sys [119296]
[MD5.0D08D2F3B3FF84E433346669B5E0F639] - (.Microsoft Corporation - Pilote de cliché instantané du volume.) (.20/11/2010 - 14:34:02.) -- C:\Windows\system32\Drivers\volsnap.sys [295808]
~ Generic Processes: Scanned in 00mn 00s



---\\ Etat des fichiers cachés (Caché/Total)
~ Mes Favoris (My Favorites) : 1/51
~ Mes Documents (My Documents) : 1/28
~ Mon Bureau (My Desktop) : 1/3439
~ Menu demarrer (Programs) : 1/42
~ Hidden Files: Scanned in 00mn 01s



---\\ Processus lancés
[MD5.D1D5DAB39DCB4BE0359943738D87409B] - (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe [532040] [PID.1976]
[MD5.7DFCCC67990B6DE7F30F553A4E4612A4] - (...) -- C:\Program Files (x86)\RocketDock\RocketDock.exe [495616] [PID.2984]
[MD5.C2B530DF986F7C5CC8AEFF8EFB482D68] - (.BrowserSafeguard - BrowserSafeguard.) -- C:\Program Files (x86)\Browsersafeguard\BrowserSafeguard.exe [573952] [PID.1056] =>PUP.BrowserSafeguard
[MD5.F5FBA8724DE219E96D9ABAF4772D31A3] - (.CyberLink Corp. - PowerDVD RC Service.) -- C:\Program Files (x86)\CyberLink\PowerDVD9\PDVD9Serv.exe [87336] [PID.2788]
[MD5.F4DCD4912B185C3AAEB92A7040832AD1] - (.Pas de propriétaire - ALU.) -- C:\Program Files (x86)\ASUS\ASUS Live Update\ALU.exe [51768] [PID.1996]
[MD5.1971D838A88F58D59543E9B3CDA5FFC4] - (.ASUS - SmartLogon Application.) -- C:\Program Files (x86)\ASUS\SmartLogon\sensorsrv.exe [305720] [PID.2320]
[MD5.5AEBF6FA9805C9101220AA4FB4FA17E7] - (.ASUS - HControlUser.) -- C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe [105016] [PID.2936]
[MD5.BA2B4E07561CF877F61B0EEED654BC96] - (...) -- C:\Program Files (x86)\ASUS\ControlDeck\ControlDeckStartUp.exe [53888] [PID.2760]
[MD5.97F60D16F052DA9CB619AB9A96CB2D4E] - (.Pas de propriétaire - Wireless Console 3.) -- C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe [1597440] [PID.2080]
[MD5.5666955DC9FD455A003D86A21E0483A9] - (.ASUS - ATK Media.) -- C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe [170624] [PID.2792]
[MD5.32F43BE36AAC4E10C88EC24B34770C0D] - (.ASUS - ATKOSD2.) -- C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe [6859392] [PID.2412]
[MD5.3ECCDD3FE310DD8F82D085447089ADB0] - (.ASUSTek Computer Inc. - ADSMTray.) -- C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMTray.exe [272952] [PID.2992]
[MD5.07E56F90546052D0574355E16AB48A6F] - (.ASUS - AsScrPro.) -- C:\Windows\AsScrPro.exe [3058304] [PID.3172]
[MD5.57B4D34232852BFE4453BE571DF90D21] - (.CyberLink - CyberLink MediaLibray Service.) -- C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe [103720] [PID.4552]
[MD5.EF01D104449CC654FDCF423C92BD8846] - (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe [275568] [PID.4228]
[MD5.2A43A30EF7FCFD1284F8C3318B784A68] - (.Mozilla Corporation - Plugin Container for Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe [18544] [PID.2796]
[MD5.EB68851F020D35293EADAADEB18B8220] - (.Adobe Systems, Inc. - Adobe Flash Player 11.9 r900.) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_9_900_117.exe [1862536] [PID.4216]
[MD5.C5D445474CDE2EA0C01548EEC465EACD] - (.Nicolas Coolman - ZHPDiag.) -- C:\Program Files (x86)\ZHPDiag\ZHPDiag.exe [8164864] [PID.3640]
~ Processes Running: Scanned in 00mn 00s



---\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
C:\Users\KIM Sothéa\AppData\Local\Google\Chrome\User Data\Default\Preferences
~ Google Browser: 1 Legitimates Filtered in 00mn 00s



---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
C:\Users\KIM Sothéa\AppData\Roaming\Mozilla\Firefox\Profiles\dueb7bri.default\prefs.js
P2 - FPN: [HKCU] [@lightspark.github.com/Lightspark;version=1] - (...) -- C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll (.not file.)
~ Firefox Browser: 3 Legitimates Filtered in 00mn 00s



---\\ Internet Explorer, Proxy Management (R5)
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <-loopback> =>Hijacker.Proxy
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:49160;https=127.0.0.1:49160 =>Hijacker.Proxy
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,EnableHttp1_1 = 1
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigProxy = wininet.dll
~ Proxy management: Scanned in 00mn 00s



---\\ Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
F2 - REG:system.ini: USERINIT=C:\Windows\system32\userinit.exe,
F2 - REG:system.ini: Shell=C:\Windows\explorer.exe
F2 - REG:system.ini: VMApplet=C:\Windows\System32\SystemPropertiesPerformance.exe
~ Keys: Scanned in 00mn 00s



---\\ Hosts file redirection (O1)
~ Le fichier hosts est sain (The hosts file is clean).
~ Hosts File: Scanned in 00mn 00s
~ Nombre de lignes (Lines number): 1287



---\\ Internet Explorer Toolbars (O3)
O3 - Toolbar\WebBrowser: (no name) [64Bits] - [HKCU]{21FA44EF-376D-4D53-9B0F-8A89D3229068} Clé orpheline
~ Toolbar: Scanned in 00mn 00s



---\\ Autres liens utilisateurs (O4)
O4 - GS\Program [Public]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O4 - GS\QuickLaunch [KIM Sothéa]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe
O4 - GS\TaskBar [KIM Sothéa]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O4 - GS\Program [KIM Sothéa]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
O4 - GS\Program [KIM Sothéa]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O4 - GS\SystemTools [KIM Sothéa]: Internet Explorer (No Add-ons).lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe
O4 - GS\Desktop [KIM Sothéa]: Incoming - Raccourci.lnk . (...) -- C:\Users\KIM Sothéa\Downloads\eMule\Incoming
~ Global Startup: 49 Legitimates Filtered in 00mn 01s



---\\ Applications lancées au démarrage du sytème (O4)
O4 - GS\Startup [Public]: FancyStart daemon.lnk . (...) -- C:\Windows\Installer\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}\_A1DDD39913A1970387B7B3.exe
O4 - GS\Startup [Public]: SRS Premium Sound.lnk . (.Acresso Software Inc. - InstallShield.) -- C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut5_21C7B668029A47458B27645FE6E4A715.exe
O4 - HKLM\..\Run: [ASUS WebStorage] . (...) -- C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe
O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\Windows\system32\NvCpl.dll =>.NVIDIA Corporation
O4 - HKLM\..\Run: [AmIcoSinglun64] . (.AlcorMicro Co., Ltd. - Single LUN Icon Utility for VID 058F PID 63.) -- C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe
O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd (.not file.)
O4 - HKLM\..\Run: [MSC] . (.Microsoft Corporation - Microsoft Security Client User Interface.) -- C:\Program Files\Microsoft Security Client\msseces.exe
O4 - HKCU\..\Run: [RocketDock] . (...) -- C:\Program Files (x86)\RocketDock\RocketDock.exe
O4 - HKCU\..\Run: [BrowserSafeguard] . (.BrowserSafeguard - BrowserSafeguard.) -- C:\Program Files (x86)\Browsersafeguard\Browsersafeguard.exe =>PUP.BrowserSafeguard
O4 - HKLM\..\Wow6432Node\Run: [MDS_Menu] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\Cyberlink\MediaShowEspresso\MUITransfer\MUIStartMenu.exe
O4 - HKLM\..\Wow6432Node\Run: [RemoteControl9] . (.CyberLink Corp. - PowerDVD RC Service.) -- C:\Program Files (x86)\Cyberlink\PowerDVD9\PDVD9Serv.exe
O4 - HKLM\..\Wow6432Node\Run: [PDVD9LanguageShortcut] . (.CyberLink Corp. - PowerDVD Language Application.) -- C:\Program Files (x86)\Cyberlink\PowerDVD9\Language\Language.exe
O4 - HKLM\..\Wow6432Node\Run: [UpdatePSTShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\Cyberlink\DVD Suite\MUITransfer\MUIStartMenu.exe
O4 - HKLM\..\Wow6432Node\Run: [UpdateLBPShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe
O4 - HKLM\..\Wow6432Node\Run: [UpdateP2GoShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe
O4 - HKLM\..\Wow6432Node\Run: [HControlUser] . (.ASUS - HControlUser.) -- C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Wow6432Node\Run: [ATKMEDIA] . (.ASUS - ATK Media.) -- C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Wow6432Node\Run: [ATKOSD2] . (.ASUS - ATKOSD2.) -- C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Wow6432Node\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe =>.Adobe Systems Incorporated
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] . (.Microsoft Corporation - Gadgets du Bureau Windows.) -- C:\Program Files (x86)\Windows Sidebar\Sidebar.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-18\..\RunOnce: [SPReview] . (.Microsoft Corporation - SP Reviewer.) -- C:\Windows\System32\SPReview\SPReview.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] . (.Microsoft Corporation - MCTAdmin.) -- C:\Windows\System32\mctadmin.exe =>.Microsoft Corporation
O4 - HKUS\S-1-5-21-1162796141-147342892-3569935038-1001\..\Run: [RocketDock] . (...) -- C:\Program Files (x86)\RocketDock\RocketDock.exe
O4 - HKUS\S-1-5-21-1162796141-147342892-3569935038-1001\..\Run: [BrowserSafeguard] . (.BrowserSafeguard - BrowserSafeguard.) -- C:\Program Files (x86)\Browsersafeguard\Browsersafeguard.exe =>PUP.BrowserSafeguard
~ Application: Scanned in 00mn 00s



---\\ Modification Domaine/Adresses DNS (O17)
O17 - HKLM\System\CCS\Services\Tcpip\..\{042E4ABD-3F1C-4D11-B4FF-2EEEA9964957}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS1\Services\Tcpip\..\{042E4ABD-3F1C-4D11-B4FF-2EEEA9964957}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CS2\Services\Tcpip\..\{042E4ABD-3F1C-4D11-B4FF-2EEEA9964957}: DhcpNameServer = 212.27.40.241 212.27.40.240
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 212.27.40.241 212.27.40.240
~ Domain: Scanned in 00mn 00s



---\\ Protocole additionnel (O18)
O18 - Handler: wlmailhtml [64Bits] - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} . (...) --
O18 - Filter: text/xml [64Bits] - {807563E5-5146-11D5-A672-00B0D022E945} . (.Microsoft Corporation - Microsoft Office XML MIME Filter.) -- C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.dll =>.Microsoft Corporation
~ Protocole Additionnel: Scanned in 00mn 00s



---\\ Tâches planifiées en automatique (O39)
[MD5.FA4264FE10DE482B87583BF194627F5D] [APT] [BrowserSafeguard Update Task] (...) -- C:\Program Files (x86)\Browsersafeguard\uninstall.browsersafeguard.exe [3447296] =>PUP.BrowserSafeguard
[MD5.00000000000000000000000000000000] [APT] [{B48184F8-A800-4893-A01D-8F25B056B777}] (...) -- C:\Users\KIM Sothéa\Downloads\avast_free_antivirus_setup.exe (.not file.) [0]
~ Scheduled Task: 14 Legitimates Filtered in 00mn 04s



---\\ Logiciels installés (O42)
O42 - Logiciel: BrowserSafeguard - (.Browsersafeguard.) [HKLM][64Bits] -- Browsersafeguard =>PUP.BrowserSafeguard
~ Logic: 95 Legitimates Filtered in 00mn 00s



---\\ HKCU & HKLM Software Keys
[HKCU\Software\AmiExt]
[HKCU\Software\Beamrise] =>Hijacker.Beamrise
[HKCU\Software\UpdaterEX] =>Adware.Boxore
~ Key Software: 149 Legitimates Filtered in 00mn 00s



---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 - CFD: 02/11/2013 - 16:24:29 - [0] ----D C:\Program Files (x86)\AmiExt
O43 - CFD: 03/11/2013 - 20:24:12 - [5,066] ----D C:\Program Files (x86)\Browsersafeguard =>PUP.BrowserSafeguard
O43 - CFD: 29/09/2013 - 08:45:12 - [1,063] ----D C:\Users\KIM Sothéa\AppData\Roaming\0F1F1C2Y1H1P1C0I0T
O43 - CFD: 27/04/2013 - 21:59:14 - [0,381] ----D C:\Users\KIM Sothéa\AppData\Roaming\Exef
O43 - CFD: 29/09/2013 - 12:30:47 - [0] ----D C:\Users\KIM Sothéa\AppData\Roaming\Reoqa
O43 - CFD: 29/09/2013 - 13:44:40 - [0] ----D C:\Users\KIM Sothéa\AppData\Roaming\Saoly
~ Program Folder: 124 Legitimates Filtered in 00mn 11s



---\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 - LFC:[MD5.9F11947D77502BFC03B2C0B385F3EF36] - 03/11/2013 - 16:23:46 ---A- . (...) -- C:\Windows\SysNative\ServiceFilter.ini [1719]
O44 - LFC:[MD5.9F11947D77502BFC03B2C0B385F3EF36] - 03/11/2013 - 16:23:46 ---A- . (...) -- C:\Windows\System32\ServiceFilter.ini [1719]
O44 - LFC:[MD5.4FB4427291D5B25264BB0D98DF07B536] - 03/11/2013 - 17:44:44 ---A- . (...) -- C:\DelFix.txt [724]
O44 - LFC:[MD5.50C03CDEECE2675F452ECF6F609851FC] - 03/11/2013 - 21:00:12 ---A- . (...) -- C:\Windows\avast5.ini [39]
O44 - LFC:[MD5.3D57EC3DDD0A4B5A9DF9A676C7DD771D] - 03/11/2013 - 21:05:49 ---A- . (...) -- C:\Windows\AvastEmUpdate.ini [34]
O44 - LFC:[MD5.043634A33AF193F3862BC5569FBE93B7] - 03/11/2013 - 21:10:41 ---A- . (...) -- C:\Windows\SysNative\AutoRunFilter.ini [2528]
O44 - LFC:[MD5.043634A33AF193F3862BC5569FBE93B7] - 03/11/2013 - 21:10:41 ---A- . (...) -- C:\Windows\System32\AutoRunFilter.ini [2528]
O44 - LFC:[MD5.6BCAF46E2B7FA9ACE92B4D39F3037C5C] - 03/11/2013 - 21:18:43 ---A- . (...) -- C:\Windows\SysNative\acovcnt.exe [45056]
O44 - LFC:[MD5.6BCAF46E2B7FA9ACE92B4D39F3037C5C] - 03/11/2013 - 21:18:43 ---A- . (...) -- C:\Windows\System32\acovcnt.exe [45056]
~ Files: 27 Legitimates Filtered in 00mn 05s



---\\ Derniers fichiers créés dans Windows Prefetcher (O45)
O45 - LFCP:[MD5.981696101514D14B2BE5138821CE70A5] - 02/11/2013 - 16:15:14 ---A- - C:\Windows\Prefetch\SCTMP.EXE-E5A877E2.pf
O45 - LFCP:[MD5.3C187B67BA92F388E3E44D76DB6987AF] - 02/11/2013 - 16:16:00 ---A- - C:\Windows\Prefetch\BAOFENG.EXE-BBB26569.pf
O45 - LFCP:[MD5.F3C2489A6DC6BBB12EB4E2E7701820C1] - 02/11/2013 - 16:20:24 ---A- - C:\Windows\Prefetch\FLASHENHANCERINSTALLER.EXE-C6629BBC.pf
O45 - LFCP:[MD5.AF69858FC84FF51DCC3743F2C04FEFF4] - 02/11/2013 - 16:20:28 ---A- - C:\Windows\Prefetch\FEBUNDLE.EXE-715DBA00.pf
O45 - LFCP:[MD5.2B41B85BCD7C7A82B4A01E5C4D4512B6] - 02/11/2013 - 16:20:36 ---A- - C:\Windows\Prefetch\LIGHTSPARK-0.5.3-WIN32.EXE-7EBAFEF6.pf
O45 - LFCP:[MD5.B9B76FED16359E467FFE32574F1873AC] - 02/11/2013 - 16:24:29 ---A- - C:\Windows\Prefetch\AMISTORAGE.EXE-8ADF2CC5.pf
O45 - LFCP:[MD5.12CC43C02B04B3E5872AA889D99C9D15] - 02/11/2013 - 17:15:27 ---A- - C:\Windows\Prefetch\EMULE.EXE-5E139ED9.pf
O45 - LFCP:[MD5.2BF6CD9975D1FE95A7AC86E7F106ABBF] - 03/11/2013 - 12:31:53 ---A- - C:\Windows\Prefetch\_IU14D2N.TMP-C0BF4DC8.pf
~ Prefetcher: 143 Legitimates Filtered in 00mn 01s



---\\ Clé de registre Shell MountPoints2 (MPKS) (O51)
O51 - MPSK:{f264653d-12d1-11e1-9350-485b39508993}\AutoRun\command. (...) -- H:\Startme.exe (.not file.)
~ Keys: Scanned in 00mn 00s



---\\ Enumération des clés de registre PoliciesSystem (MWPS) (O55)
O55 - MWPS:[HKLM\...\Policies\System] - "EnableUIADesktopToggle"=0
O55 - MWPS:[HKLM\...\Policies\System] - "FilterAdministratorToken"=0
~ MWPS: 17 Legitimates Filtered in 00mn 00s



---\\ Enumération des clés de registre PoliciesExplorer (MWPE) (O56)
O56 - MWPE:[HKLM\...\policies\Explorer] - "NoActiveDesktopChanges"=1
~ MWPE Keys: 4 Legitimates Filtered in 00mn 00s



---\\ Liste des pilotes du système (SDL) (O58)
O58 - SDL:[MD5.0E5DA5369A0FCAEA12456DD852545184] - 14/07/2009 - 02:47:48 ---A- . (.Emulex - Storport Miniport Driver for LightPulse HBAs.) -- C:\Windows\System32\Drivers\elxstor.sys [530496]
~ Drivers: 17 Legitimates Filtered in 00mn 00s



---\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 - LFC: 01/11/2013 - 22:01:33 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Local\Mozilla\updates\E7CF176E110C211B\active-update.xml [57]
O61 - LFC: 01/11/2013 - 22:01:33 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Local\Mozilla\updates\E7CF176E110C211B\updates.xml [1508]
O61 - LFC: 03/11/2013 - 22:01:33 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Local\Google\Chrome\User Data\Local State [1027]
O61 - LFC: 03/11/2013 - 22:01:44 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Roaming\ZHP\Log.txt [36469] =>.Nicolas Coolman
O61 - LFC: 03/11/2013 - 22:01:44 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Roaming\ZHP\TestsZHPDiag.txt [2986] =>.Nicolas Coolman
O61 - LFC: 03/11/2013 - 22:01:44 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Roaming\ZHP\ZHPDiag.txt [27489] =>.Nicolas Coolman
O61 - LFC: 03/11/2013 - 22:01:44 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Roaming\ZHP\ZHPFixQuarantine.txt [236] =>.Nicolas Coolman
O61 - LFC: 03/11/2013 - 22:01:44 ---A- . (...) -- C:\Users\KIM Sothéa\AppData\Roaming\ZHP\ZHPFix[R1].txt [1266] =>.Nicolas Coolman
O61 - LFC: 03/11/2013 - 22:01:44 ---A- . (...) -- C:\Users\KIM Sothéa\Downloads\adwcleaner-3.010.exe [1060070]
O61 - LFC: 03/11/2013 - 22:01:44 ---A- . (...) -- C:\Users\KIM Sothéa\Downloads\delfix.exe [706950]
~ 16 Fichiers temporaires (Temporary files)
~ Files: 153 Legitimates Filtered in 00mn 15s



---\\ Liste des outils de désinfection (LATC) (O63)
O63 - Logiciel: ZHPDiag 2013 - (.Nicolas Coolman.) [HKLM] -- ZHPDiag_is1 =>.Nicolas Coolman
~ ADS: Scanned in 00mn 00s



---\\ Menu de démarrage Internet (SMI) (O68)
O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (.Mozilla Corporation - Firefox.) -- C:\Program Files (x86)\Mozilla Firefox\firefox.exe
O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe
~ Keys: Scanned in 00mn 00s



---\\ Recherche d'infection sur les navigateurs internet (SBI) (O69)
O69 - SBI: SearchScopes [HKCU] ${searchCLSID} - (@ieframe.dll,-12512) - http://search.live.com
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} - (Bing) - http://www.bing.com
~ Keys: Scanned in 00mn 00s



---\\ Recherche particulière à la racine du système (SPRF) (O84)
[MD5.1FE339E72FE03A27DD9D5A9A357CFE7D] [SPRF][24/12/2009] (...) -- C:\ProgramData\FullRemove.exe [131368]
[MD5.32DCED18FFFEA0035E4FA975CA0AE8BE] [SPRF][22/04/2013] (.The Software Group - Software Update Setup.) -- C:\Users\KIM Sothéa\AppData\Local\Temp\BoxoreInstaller.exe [620656] =>Adware.Boxore
[MD5.47025DD5CBA8B43E9D26C960FF5B32A7] [SPRF][19/10/2013] (...) -- C:\Users\KIM Sothéa\AppData\Local\Temp\Quarantine.exe [344355]
[MD5.006CC8260405E231C2006A0CEA2127FD] [SPRF][03/11/2013] (.Robert Simpson, et al. - System.Data.SQLite Interop Assembly.) -- C:\Users\KIM Sothéa\AppData\Local\Temp\System.Data.SQLite.dll [1053184]
~ Files: 14 Legitimates Filtered in 00mn 00s



---\\ Liste des exceptions du parefeu (FirewallRules) (O87)
O87 - FAEL: "TCP Query User{27F86219-0820-4508-BF03-285FA16897FD}C:\users\kim sothéa\appdata\roaming\saoly\irme.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\kim sothéa\appdata\roaming\saoly\irme.exe (.not file.)
O87 - FAEL: "UDP Query User{0FE9AFA1-61EA-472C-A8A9-BB672ED562D6}C:\users\kim sothéa\appdata\roaming\saoly\irme.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\kim sothéa\appdata\roaming\saoly\irme.exe (.not file.)
O87 - FAEL: "{40D1BFBA-DED5-4D5C-8B2E-9F1A2159AF70}" |In - Public - P6 - TRUE | .(...) -- C:\ProgramData\eSafe\eGdpSvc.exe (.not file.) =>PUP.eSafeSecurity
~ Firewall: 201 Legitimates Filtered in 00mn 01s



---\\ Recherche des packages WindowsInstaller (WIS) (O93) (NTFS)
[MD5.AB790584FC5F6F1FC4C8F9415075AF34] [WIS][18/04/2010] (.DeviceVM, Inc. - Blank Project Template.) -- C:\Windows\Installer\22a43.msi [319286272]
~ WIS: 174 Legitimates Filtered in 00mn 18s



---\\ Etat général des services not Microsoft (EGS) (SR=Running, SS=Stopped)
SR - | Auto 05/09/2013 65640 | (AdobeARMservice) . (.Adobe Systems Incorporated.) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
SS - | Demand 09/10/2013 257416 | (AdobeFlashPlayerUpdateSvc) . (.Adobe Systems Incorporated.) - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
SR - | Demand 31/03/2008 225280 | (ADSMService) . (.ASUSTek Computer Inc..) - C:\Program Files (x86)\ASUS\ASUS Data Security Manager\ADSMSrv.exe
SR - | Auto 17/09/2009 359552 | (AFBAgent) . (.ASUSTeK Computer Inc..) - C:\Windows\system32\FBAgent.exe
SR - | Auto 16/06/2009 84536 | (ASLDRService) . (.ASUS.) - C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe
SR - | Auto 08/08/2007 94208 | (ATKGFNEXSrv) . (...) - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
SR - | Auto 04/04/2013 418376 | (MBAMScheduler) . (.Malwarebytes Corporation.) - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe
SR - | Auto 04/04/2013 701512 | (MBAMService) . (.Malwarebytes Corporation.) - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
SS - | Demand 30/10/2013 119408 | (MozillaMaintenance) . (.Mozilla Foundation.) - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe
SR - | Auto 23/10/2009 382568 | (nvsvc) . (.NVIDIA Corporation.) - C:\Windows\system32\nvvsvc.exe
SR - | Demand 27/05/2009 244904 | (RichVideo) . (...) - C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe
SR - | Auto 23/10/2009 239720 | (Stereo Service) . (.NVIDIA Corporation.) - C:\Windows\SysWOW64\nvSCPAPISvr.exe
SS - | Demand 14/07/2009 27136 | C:\Program Files (x86)\Windows Defender\mpsvc.dll (WinDefend) . (.Microsoft Corporation.) - C:\Windows\System32\svchost.exe
SR - | Auto 10/07/1658 0 | (WMPNetworkSvc) . (...) - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe =>.Microsoft Corporation
SR - | Auto 14/07/2009 27136 | C:\Windows\System32\wuaueng.dll (wuauserv) . (.Microsoft Corporation.) - C:\Windows\System32\svchost.exe
~ Services: Scanned in 00mn 19s



---\\ Recherche d'infection sur le Master Boot Record (MBR)(O80)
Run by KIM Sothéa at 03/11/2013 22:02:21
~ OS 64 not supported by MBR tool
~ MBR: 0 Legitimates Filtered in 00mn 00s



---\\ Recherche d'infection sur le Master Boot Record (MBRCheck)(O80)
Written by ad13, http://ad13.geekstog
Run by KIM Sothéa at 03/11/2013 22:02:23

********* Dump file Name *********
C:\PhysicalDisk0_MBR.bin
~ MBR: Scanned in 00mn 02s



---\\ Scan Additionnel (O88)
Database Version : 12965 - (02/11/2013)
Clés trouvées (Keys found) : 2
Valeurs trouvées (Values found) : 1
Dossiers trouvés (Folders found) : 2
Fichiers trouvés (Files found) : 5

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Browsersafeguard] =>PUP.BrowserSafeguard^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC] =>Adware.Boxore^
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:BrowserSafeguard =>PUP.BrowserSafeguard^
C:\Program Files (x86)\Browsersafeguard =>PUP.BrowserSafeguard^
C:\Users\KIM Sothéa\AppData\Local\Software =>Adware.Boxore
C:\Program Files (x86)\Browsersafeguard\BrowserSafeguard.exe =>PUP.BrowserSafeguard^
C:\Program Files (x86)\Browsersafeguard\uninstall.browsersafeguard.exe =>PUP.BrowserSafeguard^
[HKCU\Software\Beamrise] =>Hijacker.Beamrise^
[HKCU\Software\UpdaterEX] =>Adware.Boxore^
C:\Users\KIM Sothéa\AppData\Local\Temp\BoxoreInstaller.exe =>Adware.Boxore^
~ Additionnel Scan: 253084 Items scanned in 00mn 24s



---\\ Récapitulatif des détections trouvées sur votre station
~ http://nicolascoolman.webs.com/apps/blog/show/32799788-pup-browsersafeguard =>PUP.BrowserSafeguard
~ http://nicolascoolman.webs.com/apps/blog/show/27232411-hijacker-proxy =>Hijacker.Proxy
~ http://nicolascoolman.webs.com/apps/blog/show/34065742-hijacker-beamrise =>Hijacker.Beamrise
~ http://nicolascoolman.webs.com/apps/blog/show/26626977-adware-boxore =>Adware.Boxore
~ http://nicolascoolman.webs.com/apps/blog/show/27588628-pup-esafesecurity =>PUP.eSafeSecurity
~ MSI: 5 link(s) detected in 00mn 24s



~ 1319 Legitimates filtered by white list
End of the scan (449 lines in 02mn 05s)(0)




http://cjoint.com/?CKdwfhfrdC6
0
Réponse 33 / 40
BENDER2.0
3 nov. 2013 à 22:16
Voici le lien pour le rapport ZHPFix :

http://cjoint.com/?CKdwpSsUSa3
0
Réponse 34 / 40
Utilisateur anonyme
4 nov. 2013 à 13:41
bon !

autant recommencer de zéro car ton pc est infecté plus qu'avant !

aide toi de ceci pour me faire passer un rapport complet de Zhpdiag, via cjoint :

https://forums.commentcamarche.net/forum/affich-29027073-infecte-par-start-qone8?full#3



0
Réponse 35 / 40
BENDER2.0
4 nov. 2013 à 14:46
Bonjour Electricien 69,

Voici le rapport Malwarebytes :

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.11.03.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
KIM Sothéa :: PCPK0911 [administrateur]

Protection: Désactivé

04/11/2013 02:10:02
mbam-log-2013-11-04 (02-10-02).txt

Type d'examen: Examen complet (C:\|D:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 335362
Temps écoulé: 2 heure(s), 29 minute(s), 5 seconde(s)

Processus mémoire détecté(s): 1
C:\Program Files (x86)\Browsersafeguard\BrowserSafeguard.exe (PUP.Optional.BrowserSafeGuard.A) -> 2668 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Browsersafeguard (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\BROWSERSAFEGUARD (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|BrowserSafeguard (PUP.Optional.BrowserSafeGuard.A) -> Données: "C:\Program Files (x86)\Browsersafeguard\Browsersafeguard.exe" -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Browsersafeguard|sourceid (PUP.Optional.BrowserSafeGuard.A) -> Données: google_browsersafeguard-display-cpc-FR-3300x250-audownload.com-37698643983 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 3
C:\Program Files (x86)\Browsersafeguard (PUP.Optional.BrowserSafeGuard.A) -> Suppression au redémarrage.
C:\Program Files (x86)\Browsersafeguard\Resources (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BrowserSafeguard (PUP.Optional.BrowserSafeGuard) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 14
C:\Program Files (x86)\Browsersafeguard\ewebstorewrapper.dll (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\BrowserSafeguard.exe (PUP.Optional.BrowserSafeGuard.A) -> Suppression au redémarrage.
C:\Program Files (x86)\Browsersafeguard\install.log (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\makecert.exe (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\TrustedRoot.cer (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\uninstall.browsersafeguard.exe (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\Resources\certutil.exe (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\Resources\libnspr4.dll (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\Resources\libplc4.dll (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\Resources\libplds4.dll (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\Resources\nss3.dll (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\Resources\smime3.dll (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Browsersafeguard\Resources\softokn3.dll (PUP.Optional.BrowserSafeGuard.A) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BrowserSafeguard\BrowserSafeguard.lnk (PUP.Optional.BrowserSafeGuard) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Réponse 36 / 40
BENDER2.0
4 nov. 2013 à 14:50
Et voici le rapport Delfix :

# DelFix v10.5 - Rapport créé le 04/11/2013 à 14:48:48
# Mis à jour le 17/10/2013 par Xplode
# Nom d'utilisateur : KIM Sothéa - PCPK0911
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\KIM Sothéa\Desktop\adwcleaner-3.010 - Raccourci.lnk
Supprimé : C:\Users\KIM Sothéa\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\KIM Sothéa\Desktop\ZHPDiag.txt
Supprimé : C:\Users\KIM Sothéa\Desktop\ZHPDiag2 - Raccourci.lnk
Supprimé : C:\Users\KIM Sothéa\Desktop\ZHPFix.lnk
Supprimé : C:\Users\KIM Sothéa\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\KIM Sothéa\Downloads\adwcleaner-3.010.exe
Supprimé : C:\Users\KIM Sothéa\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #421 [avast! antivirus system restore point | 11/03/2013 18:25:18]
Supprimé : RP #422 [Removed Boxore Client | 11/03/2013 19:28:09]
Supprimé : RP #423 [avast! antivirus system restore point | 11/03/2013 19:42:09]
Supprimé : RP #424 [avast! antivirus system restore point | 11/03/2013 20:04:35]
Supprimé : RP #425 [Windows Update | 11/04/2013 02:00:16]

Nouveau point de restauration créé !

########## - EOF - ##########
0
Réponse 37 / 40
BENDER2.0
4 nov. 2013 à 15:04
Donc pour résumer, que ça puisse servir à d'autres personnes infectés par Qone8 :

- Télécharger ADWcleaner, poster le rapport ici

- Télécharger ZHPdiag, hébérger le rapport sur Cjoint.com puis poster le rapport ici

- Lancer ZHPfix (icone en forme de seringue, compris dans le téléchargement ZHPdiag), rentrer un script unique à chaque pc, hébérger le rapport sur Cjoint.com puis poster le rapport ici

-Télécharger Malwarebytes, lancer le scan, redémarrer le PC et poster le rapport ici

- Télécharger Delfix, puis poster le rapport

- Faire un scan complet avec son antivirus

Grosso modo

J'attends tes instructions
Cordialement
0
Réponse 38 / 40
Utilisateur anonyme
4 nov. 2013 à 16:44
je te propose un truc plus simple :

aide toi de ceci pour restaurer le pc à la date de fin de désinfection :

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

un point de restauration a été créé par Delfix !

il suffit de passer un scan avec ton antivirus !



0
Réponse 39 / 40
BENDER2.0
4 nov. 2013 à 22:21
Bonsoir Electricien 69,

J'ai cliqué sur ton lien et suivi toutes les instructions,

Tout à l'air nickel, le problème est résolu

Je te remercie pour ta patience et ta disponibilité

BENDER2.0
0
Réponse 40 / 40
Utilisateur anonyme
5 nov. 2013 à 19:25
bonsoir et bon surf ;-)


0

Discussions similaires

Start pxe over ipv4
Grigori -
Malekal_morte- -

3 réponses
Start PXE over IPv4
Cathy -
Cathy -

4 réponses
impossible de désinstaller Microsoft start
Utilisateur anonyme -
Felix -

25 réponses
imprimante HP
lou -
MPMP10 -

3 réponses
Microsoft Start
Couleur -
canard_idf -

14 réponses