pcwatch.sys Résolu/Fermé

Question

Bonjour,

Suite à un téléchargement malencontreux ^^, j'ai infecté mon ordinateur (netbook dell). ça m'a installé plein de programmes très dur à désinstaller (dont un web protect machin chose à la base de me pb je pense) et d'autres cochonneries. 
J'ai déjà désinstallé les programmes que j'ai identifié comme indésirables à partir de l'éditeur du registre.
J'ai ensuite lancé un scan RogueKiller et dans l'onglet antirootkit une dizaine de lignes ssdt (hook ssdt) du module pcwatch.sys s'affichent et sont identifiées comme indésirables.
A partir de là, je ne sais plus quoi faire... Est-ce que ce sont des éléments réellement indésirables et si oui comment les supprimer?

Par avance, merci bcp pour votre aide!

Ilemsi

Utilisateur anonyme · Answer

bonjour,

copie et colle le rapport de Roguekiller dans ton prochain message

Ilemsi · Answer

Salut Electricien, merci pour ta réponse! 

Voici le rapport, bonne lecture ;) :

RogueKiller V9.2.13.0 [Sep 25 2014] par Adlice Software
Mail : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site Web : https://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : ismeline [Droits d'admin]
Mode : Suppression -- Date : 09/27/2014  07:53:54

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 13 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtCreateFile[66] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dccf8
[SSDT:Addr(Hook.SSDT)] NtCreateKey[70] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd594
[SSDT:Addr(Hook.SSDT)] NtDeleteFile[102] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcc8c
[SSDT:Addr(Hook.SSDT)] NtDeleteValueKey[106] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd8a6
[SSDT:Addr(Hook.SSDT)] NtOpenFile[179] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcdce
[SSDT:Addr(Hook.SSDT)] NtOpenKey[182] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd712
[SSDT:Addr(Hook.SSDT)] NtOpenKeyEx[183] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd686
[SSDT:Addr(Hook.SSDT)] NtOpenProcess[190] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dda44
[SSDT:Addr(Hook.SSDT)] NtQueryDirectoryFile[223] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd034
[SSDT:Addr(Hook.SSDT)] NtSetInformationFile[329] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcac6
[SSDT:Addr(Hook.SSDT)] NtSetValueKey[358] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd79a
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1ddae0
[Filter(Kernel.Filter)] \Driver\atapi @ Unknown : \Driver\Disk @ \Device\Harddisk0\DR0 (\SystemRoot\system32\DRIVERS\EMSC.SYS)

¤¤¤ Navigateurs web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] l6k4nw8w.default : user_pref("browser.startup.homepage", "https://search.safefinder.com/?q="); -> NON SELECTIONNÉ

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: WDC WD2500BEVT-75A23T0 ATA Device +++++
--- User ---
[MBR] b284973b6619b31198f25d077598d0bb
[BSP] a540106a20f781a738caa89b2af195b5 : HP MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 81920 | Size: 15000 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 30801920 | Size: 223434 MB
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_DEL_09252014_212244.log - RKreport_SCN_09252014_211304.log - RKreport_SCN_09272014_074722.log

Utilisateur anonyme · Answer

ok,

ceci est un driver, mais pas forcement nocif !

as tu un logiciel nommé Objectify Media Inc Watchdog, de la société Objectify Media Inc  dans la liste de tes programmes ?

Ilemsi · Answer

Non, je n'ai pas vu ça (recherche via Démarrer --> rechercher -->Objectify Media Inc Watchdog ou Objectify Media Inc)

Utilisateur anonyme · Answer

regarde dans programmes et fonctionnalités s'il y a un logiciel avec ce nom !

Ilemsi · Answer

Je te confirme : pas de programme avec ce nom ou cet éditeur!

Utilisateur anonyme · Answer

ok,

sélectionne ce que Roguekiller a trouvé, puis lance la suppression,

poste son rapport

Ilemsi · Answer

Je ne peux pas les supprimer : la touche suppression est inactive sur cet onglet rootkit et même lorsque je sélectionne les lignes ssdt.

Utilisateur anonyme · Answer

relance le scan, puis clique sur suppression !

Ilemsi · Answer

Alors, scan relancé, j'ai sélectionné les lignes SSDT--> suppression, mais elles ne se suppriment pas. Je l'ai fait deux fois, au cas où...
Nouveau rapport scan :
RogueKiller V9.2.13.0 [Sep 25 2014] par Adlice Software
Mail : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site Web : https://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : ismeline [Droits d'admin]
Mode : Suppression -- Date : 09/27/2014  10:51:38

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 13 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtCreateFile[66] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dccf8
[SSDT:Addr(Hook.SSDT)] NtCreateKey[70] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd594
[SSDT:Addr(Hook.SSDT)] NtDeleteFile[102] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcc8c
[SSDT:Addr(Hook.SSDT)] NtDeleteValueKey[106] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd8a6
[SSDT:Addr(Hook.SSDT)] NtOpenFile[179] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcdce
[SSDT:Addr(Hook.SSDT)] NtOpenKey[182] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd712
[SSDT:Addr(Hook.SSDT)] NtOpenKeyEx[183] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd686
[SSDT:Addr(Hook.SSDT)] NtOpenProcess[190] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dda44
[SSDT:Addr(Hook.SSDT)] NtQueryDirectoryFile[223] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd034
[SSDT:Addr(Hook.SSDT)] NtSetInformationFile[329] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcac6
[SSDT:Addr(Hook.SSDT)] NtSetValueKey[358] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd79a
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1ddae0
[Filter(Kernel.Filter)] \Driver\atapi @ Unknown : \Driver\Disk @ \Device\Harddisk0\DR0 (\SystemRoot\system32\DRIVERS\EMSC.SYS)

¤¤¤ Navigateurs web : 1 ¤¤¤
[PUM.HomePage][FIREFX:Config] l6k4nw8w.default : user_pref("browser.startup.homepage", "https://search.safefinder.com/?q="); -> NON SELECTIONNÉ

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: WDC WD2500BEVT-75A23T0 ATA Device +++++
--- User ---
[MBR] b284973b6619b31198f25d077598d0bb
[BSP] a540106a20f781a738caa89b2af195b5 : HP MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 81920 | Size: 15000 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 30801920 | Size: 223434 MB
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_DEL_09252014_212244.log - RKreport_SCN_09252014_211304.log - RKreport_SCN_09272014_074722.log - RKreport_DEL_09272014_075354.log
RKreport_SCN_09272014_103649.log - RKreport_DEL_09272014_103838.log - RKreport_SCN_09272014_105031.log

Utilisateur anonyme · Answer

passe ceci pour voir :

*  Télécharge et enregistre ZHPDiag sur ton bureau : 

https://nicolascoolman.eu

ou :

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/



* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

=> L'icône est sous forme de parchemin. 

* Clique sur « complet » 

* Laisse travailler l'outil, même s'il semble bloqué ! 

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur :
https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum  


tuto zhpdiag : 

https://nicolascoolman.eu

Ilemsi · Answer

J'avais déjà commencé un diag ZHPdiag mais je pensais qu'il avait planté alors j'avais arrêté!!

Voici le scan que je viens de faire : https://www.cjoint.com/?0IBl2buhdBN

Utilisateur anonyme · Answer

je vois les traces de 3 antivirus : MSE, Avast et McAfee et Ad-Aware antivirus ; il faut en conserver un seul sur le pc, les autres sont à désinstaller, attention, uTorrent se lance au démarrage du pc même quand tu le ne vois pas ! installe la dernière version de java, adobe flash player et Adobe reader depuis leurs sites dédiés ! attention à l'installation des barres d'outils ! * /!\ Avertissement /!\, * ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage ! * Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue. /!\Utilisateur de Vista, Seven et W8 : * Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » Clique sur « importer » Tu vas voir apparaitre un message d'avertissement, clique sur Ok. * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix : --------------------------------------------------------- Script Zhpfix M3 - MFPP: Plugins - [ismeline] -- C:\Users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\searchplugins\Web Search.xml M0 - MFSP: prefs.js [ismeline - l6k4nw8w.default] https://search.safefinder.com/?q= M2 - MFEP: prefs.js [ismeline - l6k4nw8w.default\{ad9a41d2-9a49-4fa6-a79e-71a0785364c8}] [] MySearchDial NewTab v3.9 (..) R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = https://search.safefinder.com/?q= R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = https://search.safefinder.com/?q= R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://search.safefinder.com/?q= R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchUrl,Default = https://search.safefinder.com/?q= O4 - GS\Desktop [Public]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com O4 - GS\Program [Public]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com O4 - GS\QuickLaunch [ismeline]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com O4 - GS\Program [ismeline]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com O4 - GS\Program [ismeline]: Search.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files\Google\Chrome\Application\chrome.exe https://search.safefinder.com/?q= O4 - GS\SystemTools [ismeline]: Internet Explorer (No Add-ons).lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com O23 - Service: Protect Monitor (ProtectMonitor) . (...) - C:\monitorsvc.exe O41 - Driver: (pcwatch) . (...) - C:\Windows\system32\Drivers\pcwatch.sys O41 - Driver: ({2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw) . (.StdLib - StdLib.) - C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw.sys [HKCU\Software\AppDataLow\Software\Crossrider] [HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}] [HKCU\Software\BabylonToolbar] [HKCU\Software\DataMngr] [HKCU\Software\DataMngr_Toolbar] [HKCU\Software\Grand Virtual] [HKCU\Software\InstallCore] [HKCU\Software\Optimizer Pro] [HKCU\Software\PCTRunner] [HKCU\Software\SmartbarBackup] [HKCU\Software\SmartbarLog] [HKCU\Software\Smartbar] [HKCU\Software\TutoTag] [HKCU\Software\a57dd8dbc68b814] [HKCU\Software\globalUpdate] [HKLM\Software\Babylon] [HKLM\Software\DataMngr] [HKLM\Software\GlobalUpdate] [HKLM\Software\MYBESTOFFERSTODAY] [HKLM\Software\PCDRunner] [HKLM\Software\PCTRunner] [HKLM\Software\Tarma Installer] [HKLM\Software\Tutorials] [HKLM\Software\a57dd8dbc68b814] [HKLM\Software\webssearchesSoftware] C:\Program Files\globalUpdate C:\Program Files\PCTRunner C:\Program Files\Software C:\ProgramData\Babylon C:\ProgramData\NeXTCCoup C:\ProgramData\Search Protection C:\ProgramData\Tarma Installer C:\Users\ismeline\AppData\Roaming\Babylon C:\Users\ismeline\AppData\Roaming\OpenCandy C:\Users\ismeline\AppData\Local\globalUpdate C:\Users\ismeline\AppData\Local\LPT C:\Users\ismeline\AppData\Local\OpenCandy C:\Users\ismeline\AppData\Local\Smartbar C:\Users\ismeline\AppData\Local\Software O44 - LFC:[MD5.F2E5A0CC408405C595A9CDBF854A38E1] - 24/09/2014 - 19:36:19 ---A- . (.MyOSCompany - Pas de description.) -- C:\Windows\System32\MyOSProtect.dll [304776] O44 - LFC:[MD5.7ECA3EF5AC4B760F20AAE2E0EDC56CE6] - 24/09/2014 - 19:43:26 ---A- . (...) -- C:\Windows\System32\MyOSProtect.ini [9672] O44 - LFC:[MD5.B0595E8326EC75D5B334E0663FF3D439] - 24/09/2014 - 19:43:26 ---A- . (...) -- C:\Windows\System32\MyOSProtectOff.ini [2312] O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\pcwatch.sys . (...) -- C:\Windows\System32\Drivers\pcwatch.sys (.not file.) O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\pcwatch.sys . (...) -- C:\Windows\System32\Drivers\pcwatch.sys (.not file.) O58 - SDL:02/01/1601 - 23:00:00 ---A- . (...) -- C:\Windows\System32\Drivers\pcwatch.sys [20480] O58 - SDL:24/04/2014 - 11:32:28 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw.sys [52928] O61 - LFC: 21/09/2014 - 11:36:20 ---A- . (.PC Utilities Software Limited.) -- C:\Users\ismeline\AppData\Local\Temp\LiveSupport_setup.exe [1207264] O61 - LFC: 24/09/2014 - 11:33:52 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Smartbar\Application\Resources\crdli.dll [329248] O61 - LFC: 24/09/2014 - 11:33:52 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Smartbar\Application\Resources\crdlil.dll [67104] O61 - LFC: 24/09/2014 - 11:34:22 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Temp\C9CBtmp\vopackage.exe [285095] O61 - LFC: 24/09/2014 - 11:34:30 ---A- . (.The Software Group.) -- C:\Users\ismeline\AppData\Local\Temp\C9EDtmp\boxoreinstaller.exe [620656] O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Temp\C9EEtmp\mybestofferstoday.exe [3318056] O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\GoogleCrashHandler.exe [72872] O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\GoogleUpdate.exe [68608] O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\GoogleUpdateBroker.exe [46080] O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\GoogleUpdateOnDemand.exe [46080] O61 - LFC: 24/09/2014 - 11:34:37 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\goopdate.dll [761856] O61 - LFC: 24/09/2014 - 11:34:37 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\goopdateres_en.dll [26792] O61 - LFC: 24/09/2014 - 11:34:37 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820 pGoogleUpdate4.dll [220672] O61 - LFC: 24/09/2014 - 11:34:37 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\psmachine.dll [155648] O61 - LFC: 24/09/2014 - 11:34:38 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\psuser.dll [155648] O61 - LFC: 24/09/2014 - 11:34:52 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Temp\DE55tmp\vopackage.exe [285095] O61 - LFC: 24/09/2014 - 11:34:55 ---A- . (.The Software Group.) -- C:\Users\ismeline\AppData\Local\Temp\DE86tmp\boxoreinstaller.exe [620656] O61 - LFC: 24/09/2014 - 11:37:11 ---A- . (.HighQVPV24.09.) -- C:\Users\ismeline\AppData\Roaming\JPICA.exe [1911704] O61 - LFC: 24/09/2014 - 11:37:24 ---A- . (.HighQVPV24.09.) -- C:\Users\ismeline\AppData\Roaming\RBM.exe [1463192] O61 - LFC: 25/09/2014 - 11:36:20 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Temp slE5AF.tmp\UAC.dll [16896] O64 - Services: CurCS - 20/09/1744 - C:\Windows\system32\Drivers\pcwatch.sys (pcwatch) .(...) - LEGACY_PCWATCH O64 - Services: CurCS - 24/04/2014 - C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw.sys ({2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw) .(.StdLib - StdLib.) - LEGACY_{2C976A7F-DBDC-4756-870F-F6D183FE7A7E}GW O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("browser.search.selectedEngine", "Web Search"); O69 - SBI: SearchScopes [HKCU] {006ee092-9658-4fd6-bd8e-a21a348e59f5} - (Web Search) - https://search.safefinder.com/?q= O69 - SBI: SearchScopes [HKCU] {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} [DefaultScope] - (Trovi search) - https://www.trovi.com/ [MD5.221DF9E68A02DC86FA554672779E4E16] [SPRF][24/09/2014] (.HighQVPV24.09 - HQVP1.9V24.09 exe.) -- C:\Users\ismeline\AppData\Roaming\JPICA.exe [1911704] [MD5.81C82AC22F71146D668F7702F72A9DC8] [SPRF][24/09/2014] (.HighQVPV24.09 - HQVP1.9V24.09 exe.) -- C:\Users\ismeline\AppData\Roaming\RBM.exe [1463192] [HKCU\Software\a57dd8dbc68b814\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1095.52]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}" [HKCU\Software\a57dd8dbc68b814\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1095.52]:version="2.6.1095.52" HKLM\SOFTWARE\Microsoft\Tracing\ClickPotatoLiteSA_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\ClickPotatoLiteSA_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\MyBabylonTB_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\MyBabylonTB_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\questbrowse126_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\questbrowse126_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\questbrowse127_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\questbrowse127_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\Smartbar_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\Smartbar_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\updateWiseEnhance_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\updateWiseEnhance_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\utilWiseEnhance_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\utilWiseEnhance_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\WiseEnhance_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\WiseEnhance_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\yontoo-C4-2488_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\yontoo-C4-2488_RASMANCS HKLM\SOFTWARE\Microsoft\Tracing\YontooDesktop_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\YontooDesktop_RASMANCS SS - | Auto 02/09/2014 34244 | (ProtectMonitor) . (...) - C:\monitorsvc.exe SR - | Demand 01/09/2014 1317096 | (MyOSProtect) . (.MyOSCompany.) - C:\Program Files\PCTRunner\MyOSProtect.exe [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}] [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}] [HKLM\Software\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}] [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}] [HKLM\Software\Classes\CLSID\{ae07101b-46d4-4a98-af68-0333ea26e113}] [HKLM\Software\Microsoft\Tracing\MyBabylontb_RASAPI32] [HKLM\Software\Microsoft\Tracing\MyBabylontb_RASMANCS] [HKLM\Software\Classes\Prod.cap] [HKLM\Software\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}] [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:mbot_fr_112 C:\Users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\extensions\{ad9a41d2-9a49-4fa6-a79e-71a0785364c8} C:\Users\ismeline\AppData\Local\Temp\Smartbar O3 - Toolbar: (no name) - [HKLM]{ae07101b-46d4-4a98-af68-0333ea26e113} Clé orpheline O42 - Logiciel: Ad-Aware Security Toolbar - (.Lavasoft.) [HKLM] -- adawaretb O42 - Logiciel: FBDownloader - (.HTTO Group Ltd.) [HKCU] -- fbDownloader [HKCU\Software\AppDataLow\Software\adawaretb] [HKCU\Software\YahooPartnerToolbar] O43 - CFD: 25/02/2013 - 20:44:34 - [] ----D C:\Users\ismeline\AppData\Roaming\FBDownloader O43 - CFD: 30/10/2011 - 21:57:51 - [] ----D C:\Users\ismeline\AppData\Local\APN O43 - CFD: 25/02/2013 - 20:44:35 - [] ----D C:\Users\ismeline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\fbDownloader O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.admin", false); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.aflt", "babsst"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.autoRvrt", "false"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.dfltLng", "en"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.excTlbr", false); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.id", "aa3d8dde00000000000000264d790655"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.instlDay", "15765"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.instlRef", "sst"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.newTab", false); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.prdct", "delta"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.prtnrId", "delta"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.rvrt", "false"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.smplGrp", "none"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.tlbrId", "base"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.tlbrSrchUrl", ""); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.vrsn", "1.8.10.0"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.vrsnTs", "1.8.10.012:55:47"); O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.vrsni", "1.8.10.0"); HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASAPI32 HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\adawaretb] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6c97a91e-4524-4019-86af-2aa2d567bf5c}] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6c97a91e-4524-4019-86af-2aa2d567bf5c}] [HKLM\Software\Classes\CLSID\{6c97a91e-4524-4019-86af-2aa2d567bf5c}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6c97a91e-4524-4019-86af-2aa2d567bf5c}] [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6c97a91e-4524-4019-86af-2aa2d567bf5c}] [HKLM\Software\Microsoft\Tracing\BingBar_RASMANCS] [HKLM\Software\Microsoft\Tracing\askpartnercobrandingtool_rasmancs] [HKLM\Software\Microsoft\Tracing\BingBar_RASAPI32] [HKLM\Software\Microsoft\Tracing\askpartnercobrandingtool_rasapi32] [HKLM\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}] [HKLM\Software\Microsoft\Tracing\apnstub_RASMANCS] [HKLM\Software\Microsoft\Tracing\apnstub_RASAPI32] C:\Users\ismeline\AppData\LocalLow\adawaretb C:\Users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\adawaretb [HKCU\Software\AppDataLow\Software\adawaretb] EmptyPrefetch ShortcutFix Emptytemp EmptyClsid ---------------------------------------------------------- - Clique sur le bouton « GO » pour lancer le nettoyage, - confirme le nettoyage - Héberge le rapport ZHPFIX.txt sur https://www.cjoint.com/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. Tuto en bas de cette page : https://nicolascoolman.eu

Ilemsi · Answer

De retour! 
Merci pour les conseils, je ne rappelais plus que j'avais utorrent!! Par contre, pour les antivirus McAfee et Avast, ils étaient déjà désinstallés, ce doit être des traces je ne sais pas où...
 En tout cas, voici le rapport : https://www.cjoint.com/?3IBpsPDEGdK

Utilisateur anonyme · Answer

ok,

redémarre le pc et remets moi un nouveau rapport complet de Zhpdiag pour virer le restant des antivirus !

tu me confirmes bien que ton antivirus est adaware ?

Ilemsi · Answer

ah non, je l'ai installé il y a qques jours pour faire une analyse, mais normalement c'est MSE. Je l'ai désinstallé tout à l'heure.

Utilisateur anonyme · Answer

ok, si tu as désinstallé Adaware,

remets moi un nouveau rapport complet de Zhpdiag pour virer le restant des autres antivirus !

Ilemsi · Answer

Voici le dernier rapport! https://www.cjoint.com/?3IBqdfhBznU

Utilisateur anonyme · Answer

c'est étrange, à 14h13, tu t'es fait réinfecté !


* /!\ Avertissement /!\, 
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage ! 

* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » 

Clique sur « importer » 

Tu vas voir apparaitre un message d'avertissement, clique sur Ok. 

* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix : 
--------------------------------------------------------- 

Script Zhpfix
O41 - Driver:  (pcwatch) . (...) - C:\Windows\system32\Drivers\pcwatch.sys  
[HKLM\Software\PCTRunner]    
O43 - CFD: 27/09/2014 - 15:12:16 - [] ----D C:\Program Files\PCTRunner    
O44 - LFC:[MD5.F2E5A0CC408405C595A9CDBF854A38E1] - 24/09/2014 - 19:36:19 ---A- . (.MyOSCompany - Pas de description.) -- C:\Windows\System32\MyOSProtect.dll   [304776]  
O44 - LFC:[MD5.80FB2B6EA70F5E31E4246A1BD9335321] - 27/09/2014 - 14:13:25 ---A- . (...) -- C:\Windows\System32\MyOSProtect.ini   [4144]   
O44 - LFC:[MD5.F407818534D6A33D055F188B0F06F681] - 27/09/2014 - 14:13:25 ---A- . (...) -- C:\Windows\System32\MyOSProtectOff.ini   [2072]  
O58 - SDL:02/01/1601 - 23:00:00 ---A- . (...) -- C:\Windows\System32\Drivers\pcwatch.sys   [20480]  
O64 - Services: CurCS - 20/09/1744 - C:\Windows\system32\Drivers\pcwatch.sys (pcwatch) .(...) - LEGACY_PCWATCH  
SR - | Demand 01/09/2014 1317096 |  (MyOSProtect) . (.MyOSCompany.) - C:\Program Files\PCTRunner\MyOSProtect.exe    
[HKLM\Software\McAfee]
O43 - CFD: 12/04/2011 - 20:04:00 - [] ----D C:\ProgramData\McAfee
O61 - LFC: 24/09/2014 - 15:49:08 ---A- . (...) -- C:\Users\ismeline\Downloads\Adaware_Installer.exe   [2806920]  
[HKCU\Software\JPICA]
[HKLM\Software\GS_Booster]
O43 - CFD: 24/09/2014 - 19:23:36 - [0] ----D C:\Program Files\GS_Booster
EmptyPrefetch
ShortcutFix 
Emptytemp 
EmptyClsid 




---------------------------------------------------------- 
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- confirme le nettoyage 
- Héberge le rapport ZHPFIX.txt sur 
https://www.cjoint.com/

puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 




Tuto en bas de cette page : 
https://nicolascoolman.eu

Ilemsi · Answer

Mais mais!! Pourquoi???? En plu à cette heure là, je n'étais pas sur l'ordi... 
Par contre, en attendant, j'ai relancé un scan RogueKiller pour voir et lors du préscan, il m'a indiqué avoir tué le processus "svchost.exe"

J'attends la fin du scan et applique ton script. Merci.....

Utilisateur anonyme · Answer

passe directement au script !

l'infection est de retours :

O44 - LFC:[MD5.F407818534D6A33D055F188B0F06F681] - 27/09/2014 - 14:13:25 ---A- . (...) -- C:\Windows\System32\MyOSProtectOff.ini   [2072]   



c'est marrant, il relance pcwatch.sys !

Ilemsi · Answer

Voilà : https://www.cjoint.com/?3IBqC27rtug

Utilisateur anonyme · Answer

ok,

*	Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

*  Clique sur [Start Scan] pour démarrer l'analyse. 

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

*  Un rapport s'ouvrira au redémarrage du PC. 

*  Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note : 
 Conserve l'action proposée par défaut par l'outil :

- Si TDSS.tdl2 : l'option Delete sera cochée. 
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D

Ilemsi · Answer

Je suis désolée, mais il ne me propose pas de continuer ou de rebooter, il 'affiche ça une fois l'analyse terminée :

Je le mets en quarantaine?

Utilisateur anonyme · Answer

non, choisis Skip !

passe à ceci :

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista, W7 et W8 : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Ilemsi · Answer

Ayé, j'ai tout fait, voilà ce qu'on me dit :

ComboFix 14-09-24.01 - ismeline 27/09/2014  17:29:42.1.2 - x86
Microsoft Windows 7 Édition Starter   6.1.7601.1.1252.33.1036.18.2037.1142 [GMT 2:00]
Lancé depuis: c:\users\ismeline\Downloads\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {4F35CFC4-45A3-FC37-EF17-759A02E39AB1}
SP: Microsoft Security Essentials *Disabled/Updated* {F4542E20-6399-F3B9-D5A7-4EE87964D00C}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo
c:\users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Administrateur\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo
c:\users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Administrateur\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo
c:\users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Administrateur\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo
c:\users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\Administrateur\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo
c:\users\Administrateur\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Administrateur\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Administrateur\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Administrateur\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Administrateur\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Invité\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Invité\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Invité\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\Invité\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\Invité\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\Invité\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\Invité\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\Invité\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\ismeline\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo
c:\users\ismeline\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\ismeline\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\ismeline\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\ismeline\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\ismeline\AppData\Local\Chromatic Browser\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\ismeline\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo
c:\users\ismeline\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\ismeline\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\ismeline\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\ismeline\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\ismeline\AppData\Local\Comodo\Dragon\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\ismeline\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo
c:\users\ismeline\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\ismeline\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\ismeline\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\ismeline\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\ismeline\AppData\Local\Google\Chrome SxS\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\ismeline\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bloachbmhgbhjighnbmpjghhjemmekil_0.localstorage-journal
c:\users\ismeline\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bloachbmhgbhjighnbmpjghhjemmekil_0.localstorage
c:\users\ismeline\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_eooncjejnppfjjklapaamhcdmjbilmde_0.localstorage
c:\users\ismeline\AppData\Local\Google\Chrome\User Data\Default\Preferences
c:\users\ismeline\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo
c:\users\ismeline\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\background.html
c:\users\ismeline\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\content.js
c:\users\ismeline\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\lsdb.js
c:\users\ismeline\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\manifest.json
c:\users\ismeline\AppData\Local\Torch\User Data\Default\Extensions\ocnnapnajhoimodfafpjehfmnbhbhhjo\1.0\O.js
c:\users\ismeline\AppData\Roaming\LiveSupport.exe_log.txt
c:\users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\extensions\staged\VooTbA@Z.org
c:\users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\extensions\staged\VooTbA@Z.org\bootstrap.js
c:\users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\extensions\staged\VooTbA@Z.org\chrome.manifest
c:\users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\extensions\staged\VooTbA@Z.org\content\bg.js
c:\users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\extensions\staged\VooTbA@Z.org\install.rdf
c:\users\ismeline\AppData\Roamingegsvr32.exe_log.txt
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2014-08-27 au 2014-09-27  ))))))))))))))))))))))))))))))))))))
.
.
2014-09-27 15:56 . 2014-09-27 15:56	--------	d-----w-	c:\users\Default\AppData\Local	emp
2014-09-27 13:52 . 2014-09-27 13:52	39464	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{552AD9BE-871E-4599-B1AD-F42645E75DD0}\MpKsla107c035.sys
2014-09-27 10:53 . 2014-09-27 10:53	--------	d-----w-	c:\users\ismeline\AppData\Local\CrashDumps
2014-09-27 10:36 . 2014-09-27 10:36	--------	d-----w-	c:\program files\Common Files\Java
2014-09-27 10:35 . 2014-07-25 10:55	96680	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2014-09-27 09:41 . 2014-09-27 13:52	0	----a-w-	C:\PhysicalDisk0_MBR.bin
2014-09-27 09:27 . 2014-09-27 13:52	--------	d-----w-	c:\program files\ZHPDiag
2014-09-27 05:53 . 2014-09-17 06:15	908840	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{0993D290-A173-468C-A2E7-38B3ABFCDD0A}\gapaengine.dll
2014-09-27 05:52 . 2014-09-09 01:24	8806800	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{552AD9BE-871E-4599-B1AD-F42645E75DD0}\mpengine.dll
2014-09-25 19:49 . 2014-09-27 14:23	--------	d-----w-	c:\users\ismeline\AppData\Roaming\ZHP
2014-09-25 18:51 . 2014-09-27 14:02	34808	----a-w-	c:\windows\system32\drivers\TrueSight.sys
2014-09-25 18:51 . 2014-09-25 18:51	--------	d-----w-	c:\programdata\RogueKiller
2014-09-25 18:42 . 2014-09-09 01:24	8806800	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2014-09-24 18:42 . 2014-09-24 18:42	--------	d-----w-	c:\program files\predm
2014-09-24 18:38 . 2014-09-01 18:29	20480	----a-w-	c:\windows\system32\drivers\pcwatch.sys
2014-09-24 18:36 . 2014-09-01 18:28	304776	----a-w-	c:\windows\system32\MyOSProtect.dll
2014-09-24 18:27 . 2014-09-27 14:22	--------	d-----w-	c:\program files\PCTRunner
2014-09-24 18:19 . 2014-09-24 18:19	--------	d-sh--w-	c:\users\ismeline\AppData\Local\EmieUserList
2014-09-24 18:19 . 2014-09-24 18:19	--------	d-sh--w-	c:\users\ismeline\AppData\Local\EmieSiteList
2014-09-24 16:51 . 2014-09-24 16:51	--------	d-----w-	c:\users\ismeline\AppData\Roaming\LavasoftStatistics
2014-09-24 16:44 . 2014-09-09 21:47	2048	----a-w-	c:\windows\system32	zres.dll
2014-09-24 16:43 . 2014-09-24 16:43	--------	d-----w-	c:\users\ismeline\AppData\Roaming\SecureSearch
2014-09-24 16:41 . 2014-09-27 10:22	--------	d-----w-	c:\program files\Lavasoft
2014-09-21 20:39 . 2014-09-21 20:39	--------	d-----w-	c:\users\ismeline\AppData\Roaming\SendSpace
2014-09-21 20:39 . 2014-09-21 20:39	--------	d-----w-	c:\users\ismeline\AppData\Local\Programs
2014-09-21 20:35 . 2014-09-21 20:35	--------	d-----w-	c:\programdata\Trusted Publisher
2014-09-21 20:25 . 2014-09-24 15:45	--------	d-----w-	c:\programdata\GGoSSave
2014-09-21 20:24 . 2014-09-24 15:59	--------	d-----w-	c:\programdata\f1c8cf7684c6060a
2014-09-21 20:23 . 2014-09-21 20:23	--------	d-----w-	c:\users\ismeline\AppData\Local\Chromatic Browser
2014-09-21 20:23 . 2014-09-21 20:23	--------	d-----w-	c:\users\ismeline\AppData\Local\Torch
2014-09-21 20:23 . 2014-09-21 20:23	--------	d-----w-	c:\users\ismeline\AppData\Local\Comodo
2014-09-21 20:23 . 2014-09-21 20:23	--------	d-----w-	c:\users\Invité
2014-09-21 20:23 . 2014-09-21 20:23	--------	d-----w-	c:\users\Administrateur
2014-09-13 01:35 . 2014-06-27 01:45	2285056	----a-w-	c:\windows\system32\msmpeg2vdec.dll
2014-09-11 20:51 . 2014-07-07 01:40	550912	----a-w-	c:\windows\system32\kerberos.dll
2014-09-11 20:51 . 2014-07-07 01:40	1059840	----a-w-	c:\windows\system32\lsasrv.dll
2014-09-11 20:48 . 2014-06-24 02:59	1987584	----a-w-	c:\windows\system32\d3d10warp.dll
2014-09-11 20:48 . 2014-08-01 11:35	793600	----a-w-	c:\windows\system32\TSWorkspace.dll
2014-09-02 19:55 . 2014-09-02 19:55	487483	----a-w-	C:\monitor.exe
2014-09-02 18:16 . 2014-09-02 18:16	634880	----a-w-	C:\DirectControl.exe
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-09-22 06:41 . 2011-04-11 20:50	231568	------w-	c:\windows\system32\MpSigStub.exe
2014-09-17 06:15 . 2012-05-17 16:09	908840	----a-w-	c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2014-08-23 01:46 . 2014-08-27 19:05	305152	----a-w-	c:\windows\system32\gdi32.dll
2014-08-23 00:42 . 2014-08-27 19:05	2352640	----a-w-	c:\windows\system32\win32k.sys
2014-07-25 00:35 . 2014-07-25 00:35	875688	----a-w-	c:\windows\system32\msvcr120_clr0400.dll
2014-07-17 16:05 . 2014-07-17 16:05	231800	----a-w-	c:\windows\system32\drivers\MpFilter.sys
2014-07-17 16:05 . 2012-03-20 18:44	95920	----a-w-	c:\windows\system32\drivers\NisDrvWFP.sys
2014-07-14 01:42 . 2014-08-14 17:13	654336	----a-w-	c:\windows\system32pcrt4.dll
2014-07-09 01:29 . 2014-08-14 17:09	6144	----a-w-	c:\windows\system32\KBDYAK.DLL
2014-07-09 01:29 . 2014-08-14 17:09	6144	----a-w-	c:\windows\system32\KBDBASH.DLL
2014-06-30 22:14 . 2014-08-15 09:00	8856	----a-w-	c:\windows\system32\icardres.dll
2011-08-12 06:19 . 2011-08-30 19:59	134104	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1174016]
"GarminExpressTrayApp"="c:\program files\Garmin\Express Tray\ExpressTray.exe" [2013-09-19 1093976]
"Spotify"="c:\users\ismeline\AppData\Roaming\Spotify\Spotify.exe" [2014-04-29 6087224]
"Spotify Web Helper"="c:\users\ismeline\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2014-04-29 1171000]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2010-02-05 1692968]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-11-17 7866912]
"BTMeter"="c:\program files\Battery Meter\BTMeter.exe" [2009-09-17 632176]
"WSED"="c:\program files\WSED\WSED.exe" [2009-05-27 247080]
"CapsLKNotify"="c:\program files\CapsLKNotify\CapsLKNotify.exe" [2009-06-09 320880]
"Syncables"="c:\program files\syncables\syncables desktop\syncables.exe" [2010-01-20 370480]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2014-08-22 974432]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-10-25 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-10-25 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-10-25 150552]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2014-07-25 256896]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"Launcher"="c:\program files\Dell DataSafe Local Backup\Components\scheduler\Launcher.exe" [2010-07-21 165184]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe /firstrun [2009-12-16 1324384]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Users^ismeline^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OneNote 2007 - Capture d'écran et lancement.lnk]
path=c:\users\ismeline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 - Capture d'écran et lancement.lnk
backup=c:\windows\pss\OneNote 2007 - Capture d'écran et lancement.lnk.Startup
backupExtension=.Startup
.
[HKLM\~\startupfolder\C:^Users^ismeline^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\ismeline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2012-03-27 12:41	37296	----a-w-	c:\program files\Adobe\Reader 9.0\Readereader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2011-07-11 21:47	74752	----a-w-	c:\program files\Winamp\winampa.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe [2014-08-18 108032]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2014-07-17 95920]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [2014-08-22 288120]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-09-22 174592]
R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-08-20 189440]
R3 s1039bus;Sony Ericsson Device 1039 driver (WDM);c:\windows\system32\DRIVERS\s1039bus.sys [2010-03-01 98672]
R3 s1039mdfl;Sony Ericsson Device 1039 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s1039mdfl.sys [2010-03-01 14960]
R3 s1039mdm;Sony Ericsson Device 1039 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s1039mdm.sys [2010-03-01 124016]
R3 s1039mgmt;Sony Ericsson Device 1039 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s1039mgmt.sys [2010-03-01 117872]
R3 s1039nd5;Sony Ericsson Device 1039 USB Ethernet Emulation (NDIS);c:\windows\system32\DRIVERS\s1039nd5.sys [2010-03-01 25456]
R3 s1039obex;Sony Ericsson Device 1039 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s1039obex.sys [2010-03-01 113904]
R3 s1039unic;Sony Ericsson Device 1039 USB Ethernet Emulation (WDM);c:\windows\system32\DRIVERS\s1039unic.sys [2010-03-01 123504]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers	susbflt.sys [2010-11-20 52224]
S0 EMSC;COMPAL Embedded System Control;c:\windows\system32\DRIVERS\EMSC.SYS [2009-06-26 13680]
S1 MpKsla107c035;MpKsla107c035;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{552AD9BE-871E-4599-B1AD-F42645E75DD0}\MpKsla107c035.sys [2014-09-27 39464]
S1 pcwatch;pcwatch service;c:\windows\system32\Drivers\pcwatch.sys [2014-09-01 20480]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2009-06-09 155648]
S2 Garmin Core Update Service;Garmin Core Update Service;c:\program files\Garmin\Core Update Service\Garmin.Cartography.MapUpdate.CoreService.exe [2013-09-19 250200]
S2 SftService;SoftThinks Agent Service;c:\program files\Dell DataSafe Local Backup\sftservice.EXE [2010-08-20 689472]
S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [2010-12-14 1517376]
S3 CtClsFlt;Creative Camera Class Upper Filter Driver;c:\windows\system32\DRIVERS\CtClsFlt.sys [2009-03-12 143840]
S3 MyOSProtect;MyOSProtect;c:\program files\PCTRunner\MyOSProtect.exe [2014-09-01 1317096]
S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [2010-11-29 10064]
.
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - 53589118
*NewlyCreated* - 66313996
*NewlyCreated* - 84216504
*NewlyCreated* - MPKSLA107C035
*Deregistered* - 53589118
*Deregistered* - 66313996
*Deregistered* - 84216504
*Deregistered* - TrueSight
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	SSDPSRV upnphost SCardSvr TBS fdrespub AppIDSvc QWAVE wcncsvc
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-09-24 18:31	1096520	----a-w-	c:\program files\Google\Chrome\Application\37.0.2062.124\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2014-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-09-24 18:25]
.
2014-09-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-09-24 18:25]
.
.
------- Examen supplémentaire -------
.
mStart Page = about:blank
uSearchAssistant = hxxp://ie.search.msn.com
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\MyOSProtect.dll
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\
/*FF - prefs.js: browser.search.selectedEngine - Web Search*/
/*FF - prefs.js: browser.startup.homepage - hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_l4M6Qi_XITKTa5foj7_20yJY30M2kuYGdsb-*/PKaHXNInI_akNU1JqZTsrC1gW8V9NwWrht6xsPDVBLRcKxr7qyP0-fZO61kx3mnxUA8Bf1sKI6lwiTDp4beflbJEfaEF5ck-r16DLz7I38WWY3svg,,
/*FF - prefs.js: keyword.URL - hxxp://feed.snapdo.com/?p=mKO_AwFzXIpYRbPGr6JN_C9Okvk3V9BHMT-IkVs3eDgJ_l4M6Qi_XITKTa5foj7_20yJY30M2kuYGdsb-*/PKaHXNInI_akNU1JqZTsrC1gW8V9NwWrht6xsPDVBLRcKxr7qyDJ9vRygJEtc91HLqhb7Gf9p1fME09RsCU1jjNhD1gU-ZIzAFGSrFa1pogs-WclQ,,&q=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
MSConfigStartUp-Pando - c:\program files\Pando Networks\Pando\Pando.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-953252205-1050162029-2996444636-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*G*i*r*l*MzQ6\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-953252205-1050162029-2996444636-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*H*D*¯ì-;úÿ*€>*ding a new MRL to recent ones: c:\users\ismeline\Videos\How.I.Met.Your.Mother.S07E22.FASTSUB.VOSTFR.HDTV.XviD-F4ST.avi]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-953252205-1050162029-2996444636-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*H*D*¯ì-;úÿ*€>*ding a new MRL to recent ones: c:\users\ismeline\Videos\How.I.Met.Your.Mother.S07E22.FASTSUB.VOSTFR.HDTV.XviD-F4ST.avi\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-953252205-1050162029-2996444636-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*j*p*e*g*8¹XA\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-953252205-1050162029-2996444636-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*S*c+"+]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-953252205-1050162029-2996444636-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*S*c+"+\OpenWithList]
@Class="Shell"
"a"="vlc.exe"
"MRUList"="a"
.
[HKEY_USERS\S-1-5-21-953252205-1050162029-2996444636-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.*H*D*¯ì-;úÿ*€>*ding a new MRL to recent ones: c:\users\ismeline\Videos\How.I.Met.Your.Mother.S07E22.FASTSUB.VOSTFR.HDTV.XviD-F4ST.avi]
"0"=hex:43,3a,5c,55,73,65,72,73,5c,69,73,6d,65,6c,69,6e,65,5c,56,69,64,65,6f,
   73,5c,48,6f,77,2e,49,2e,4d,65,74,2e,59,6f,75,72,2e,4d,6f,74,68,65,72,2e,53,\
"MRUListEx"=hex:00,00,00,00,ff,ff,ff,ff
.
[HKEY_USERS\S-1-5-21-953252205-1050162029-2996444636-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.*S*c+"+]
"MRUListEx"=hex:00,00,00,00,ff,ff,ff,ff
"0"=hex:32,00,2e,00,42,00,72,00,6f,00,6b,00,65,00,2e,00,47,00,69,00,72,00,6c,
   00,73,00,2e,00,53,00,63,2b,93,2b,00,00,92,00,36,00,00,00,00,00,00,00,00,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2014-09-27  18:04:14
ComboFix-quarantined-files.txt  2014-09-27 16:04
.
Avant-CF: 32 780 222 464 octets libres
Après-CF: 32 373 395 456 octets libres
.
- - End Of File - - 204CF6736F44172B197546DFBA0BD029
5C616939100B85E558DA92B899A0FC36

Utilisateur anonyme · Answer

mais non, rien est exploitable sur ces rapports !


*	/!\AVERTISSEMENT :
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau 

http://general-changelog-team.fr/fr/outils/67-otm


* Double-clique sur OTMoveIt.exe pour le lancer. 
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »

* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 



:files 
c:\windows\system32\drivers\pcwatch.sys 
c:\windows\system32\MyOSProtect.dll   
c:\program files\PCTRunner   
:services 
pcwatch
MyOSProtec
:Commands 
[emptytemp] 
[purity] 
[Reboot] 

# clique sur MoveIt! pour lancer la suppression. 

# Le résultat apparaitra dans le cadre "Results". 

# Clique sur Exit pour fermer. 

# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Ilemsi · Answer

Voilà le rapport! J'y comprends pas grand chose, mais j'ai l'impression que ce n'est pas fini...

All processes killed
========== FILES ==========
File move failed. c:\windows\system32\drivers\pcwatch.sys scheduled to be moved on reboot.
DllUnregisterServer procedure not found in c:\windows\system32\MyOSProtect.dll
File move failed. c:\windows\system32\MyOSProtect.dll scheduled to be moved on reboot.
c:\program files\PCTRunner folder moved successfully.
========== SERVICES/DRIVERS ==========
Error: Unable to stop service pcwatch!
Unable to delete service\driver key pcwatch.
Error: No service named MyOSProtec was found to stop!
Service\Driver key MyOSProtec not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Invité
->Temp folder emptied: 0 bytes
 
User: ismeline
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 168011811 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 62389697 bytes
->Google Chrome cache emptied: 297711856 bytes
->Flash cache emptied: 3254549 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 43469 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 30359727 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 751 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 536,00 mb
 
 
OTM by OldTimer - Version 3.1.21.0 log created on 09272014_192239

Files moved on Reboot...
File move failed. c:\windows\system32\drivers\pcwatch.sys scheduled to be moved on reboot.
File move failed. c:\windows\system32\MyOSProtect.dll scheduled to be moved on reboot.
C:\Windows	emp\MyOSProtect.log moved successfully.
File move failed. C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Utilisateur anonyme · Answer

super,

redémarre le pc et regarde voir si le fichier pcwatcher est toujours dans le gestionnaire de taches !

Ilemsi · Answer

Bonjour! Pc redémarré, rien dans le gestionnaire des tâches (onglets applications, processus, services) du nom de pcwatcher. ça veut dire qu'il est parti pour toujours??

Utilisateur anonyme · Answer

on verra,

remets moi un nouveau rapport de Zhpdiag pour controler tout ça, il ne reste pas grande chose pour tout finaliser

Ilemsi · Answer

et voilà le dernier rapport effectué : https://www.cjoint.com/?3IClIRV9VYp

Utilisateur anonyme · Answer

il est toujours là :( regarde si tu trouves ce programme sur ton pc : PCTRunner je ne sais pas comment, mais il se régénère et on ne le vois pas tout le temps sur les rapports ! ! O.o°* ???Respire à fond, Rédiges ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Ilemsi · Answer

Rhaaa damned!! Non pas de PCTRunner dans mes programmes....

Utilisateur anonyme · Answer

ok,

*	/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	

à lire avant de lancer l'installation de MBAM :

Attention, à l'installation décoche la case « activer l'essai gratuit de Malawarybyte anti malware »
 
ceci correspond à une version d'essai qui ne dure que 15 jours en fonctionnant comme un antivirus, donc risque de conflit avec ton antivirus existant sur le pc !



Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

ou :

https://fr.malwarebytes.com/mwb-download/
ou :

https://fr.malwarebytes.com/mwb-download/?gclid=CPqbs6_Trb0CFcfKtAodJFoANw
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger, mais il est conseillé de désinstaller ton ancienne version (1,75) pour installer la dernière ! 
	


/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet paramètres, choisis la langue souhaitée
 
. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour 

. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminée

Dans l'onglet "examen", coche la case "Examen personnalisé",  puis examiner maintenant, 

Sélectionne "recherche de rootkit", puis la partition ou le disque sur le quel est installé Windows (C: par exemple)

puis sur "lancer l'examen"

. Le scan démarre.

il va durer un certain temps, donc laisse le faire.
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.

Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.

Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,

Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.

Ilemsi · Answer

et ben il a bien tout analysé!! 

Voilà le rapport : https://www.cjoint.com/?3ICrrZJuuTy

Utilisateur anonyme · Answer

re,

redémarre le pc et donne moi des nouvelles de son fonctionnement avant de continuer

Ilemsi · Answer

Salut, ben écoute, ça a l'air d'aller, c'est pas une machine de guerre à la base mais il a l'air "normal"!

Utilisateur anonyme · Answer

pas de soucis particulier avant de lancer la suite et fin ?

Ilemsi · Answer

Je ne comprends pas "la suite et fin", c'est au moment où je redémarre?
En tout cas pas de pb, j'ai juste remarqué une fenêtre task host windows qui s'ouvrait et se fermait furtivement avant l'arrêt de l'ordi...

Utilisateur anonyme · Answer

la fenêtre correspond à une tache planifiée,

tu peux voir ce que c'est dans le planificateur de tache !

 

si le pc fonctionne normalement, on passe à la suite et fion en 2 étapes :


1/


Télécharge Delfix sur ton bureau : 

https://toolslib.net/downloads/viewdownload/2-delfix/

ou 

https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 


Coche les cases suivantes : 
=> Réactive l'Uac (juste pour Vista, Seven et W8) 
=> Supprimer les outils de désinfection (coché par défaut) 
=> Purger la restauration système
 


* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression. 
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau 
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport 
** le rapport est stocké à cet emplacement : C:\DelFix.txt 
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.




2/


	* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

Ilemsi · Answer

Voilà pour le rapport Delfix, je lance le scan par mon antivirus :

# DelFix v10.8 - Rapport créé le 01/10/2014 à 14:33:10
# Mis à jour le 29/07/2014 par Xplode
# Nom d'utilisateur : ismeline - ISMELINE-PC
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\_OTM
Supprimé : C:\TDSSKiller_Quarantine
Supprimé : C:\Users\ismeline\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.3.0.0.40_27.09.2014_16.44.56_log.txt
Supprimé : C:\TDSSKiller.3.0.0.40_27.09.2014_16.51.59_log.txt
Supprimé : C:\TDSSKiller.3.0.0.40_27.09.2014_16.53.46_log.txt
Supprimé : C:\Users\ismeline\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\ismeline\Desktop\ZHPDiag.txt
Supprimé : C:\Users\ismeline\Desktop\ZHPFix.lnk
Supprimé : C:\Users\ismeline\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\ismeline\Downloads\ComboFix.exe
Supprimé : C:\Users\ismeline\Downloads\OTM.exe
Supprimé : C:\Users\ismeline\Downloads\RogueKiller.exe
Supprimé : C:\Users\ismeline\Downloads	dsskiller.exe
Supprimé : C:\Users\ismeline\Downloads	dsskiller.zip
Supprimé : C:\Users\ismeline\Downloads\ZHPDiag2.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~ Purge de la restauration système ...

Supprimé : RP #552 [Point de contrôle planifié | 09/25/2014 04:23:34]
Supprimé : RP #553 [AA11 | 09/27/2014 10:16:27]
Supprimé : RP #554 [Installed Java 7 Update 67 | 09/27/2014 10:33:08]
Supprimé : RP #555 [Windows Update | 09/28/2014 07:47:05]

Nouveau point de restauration créé !

########## - EOF - ##########

Utilisateur anonyme · Answer

* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

Ilemsi · Answer

Analyse terminée , il a repéré un truc :

SoftwareBlunder:Win32/Softpulse

Catégorie : Non disponible

Description : Non disponible

Action recommandée : Non disponible

Éléments : 
file:C:\Users\ismeline\Downloads\ChromeSetup.exe

Obtenez plus d'informations sur cet élément en ligne.

Il me propose de le supprimer.

Utilisateur anonyme · Answer

supprime le, c'est l'installateur de chrome qui doit contenir un truc bizarre !

Ilemsi · Answer

ok, c'est fait! C'est fini m'sieur? :D

Utilisateur anonyme · Answer

si tout est bon, il ne me reste plus qu'à te souhaiter un bon surf  ;-)

Ilemsi · Answer

Salut! Ben écoute un grand MERCI pour ton aide!!! Du temps que tu as consacré à mon pb et tout et tout! 
Si tu as une bp je t'envoie des gâteaux! ;)
Bye!

Utilisateur anonyme · Answer

;-)

Pcwatch.sys

49 réponses