Pcwatch.sys

Résolu
Ilemsi Messages postés 28 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Suite à un téléchargement malencontreux ^^, j'ai infecté mon ordinateur (netbook dell). ça m'a installé plein de programmes très dur à désinstaller (dont un web protect machin chose à la base de me pb je pense) et d'autres cochonneries.
J'ai déjà désinstallé les programmes que j'ai identifié comme indésirables à partir de l'éditeur du registre.
J'ai ensuite lancé un scan RogueKiller et dans l'onglet antirootkit une dizaine de lignes ssdt (hook ssdt) du module pcwatch.sys s'affichent et sont identifiées comme indésirables.
A partir de là, je ne sais plus quoi faire... Est-ce que ce sont des éléments réellement indésirables et si oui comment les supprimer?

Par avance, merci bcp pour votre aide!

Ilemsi

49 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection est constatée après un téléchargement malencontreux, avec des programmes indésirables et des entrées anti-rootkit détectées par RogueKiller (ssdt hooks sur pcwatch.sys), laissant le système affecté. Plusieurs conseils préconisent un redémarrage puis l'envoi d'un nouveau rapport ZHPDiag afin de supprimer le reste des antivirus et de confirmer si Ad-Aware est à l'origine des conflits. Ensuite, Malwarebytes Anti-Malware est recommandé, exécuté en mode administrateur avec un examen personnalisé incluant la recherche de rootkit, puis exportation du rapport pour analyse ultérieure. D'autres pistes évoquent l'inspection de pilotes potentiellement liés comme pcwatch.sys ou Objectify Watchdog et la désinstallation d'anciens outils antivirus pour éviter les conflits logiciels persistants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonjour,

    copie et colle le rapport de Roguekiller dans ton prochain message

    0
  2. Ilemsi Messages postés 28 Statut Membre
     
    Salut Electricien, merci pour ta réponse!

    Voici le rapport, bonne lecture ;) :

    RogueKiller V9.2.13.0 [Sep 25 2014] par Adlice Software
    Mail : https://www.adlice.com/contact/
    Remontées : https://forum.adlice.com/
    Site Web : https://www.surlatoile.org/RogueKiller/
    Blog : https://www.adlice.com/

    Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Démarrage : Mode normal
    Utilisateur : ismeline [Droits d'admin]
    Mode : Suppression -- Date : 09/27/2014 07:53:54

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrées de registre : 0 ¤¤¤

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Fichiers : 0 ¤¤¤

    ¤¤¤ Fichier HOSTS : 0 ¤¤¤

    ¤¤¤ Antirootkit : 13 (Driver: CHARGE) ¤¤¤
    [SSDT:Addr(Hook.SSDT)] NtCreateFile[66] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dccf8
    [SSDT:Addr(Hook.SSDT)] NtCreateKey[70] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd594
    [SSDT:Addr(Hook.SSDT)] NtDeleteFile[102] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcc8c
    [SSDT:Addr(Hook.SSDT)] NtDeleteValueKey[106] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd8a6
    [SSDT:Addr(Hook.SSDT)] NtOpenFile[179] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcdce
    [SSDT:Addr(Hook.SSDT)] NtOpenKey[182] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd712
    [SSDT:Addr(Hook.SSDT)] NtOpenKeyEx[183] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd686
    [SSDT:Addr(Hook.SSDT)] NtOpenProcess[190] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dda44
    [SSDT:Addr(Hook.SSDT)] NtQueryDirectoryFile[223] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd034
    [SSDT:Addr(Hook.SSDT)] NtSetInformationFile[329] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcac6
    [SSDT:Addr(Hook.SSDT)] NtSetValueKey[358] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd79a
    [SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1ddae0
    [Filter(Kernel.Filter)] \Driver\atapi @ Unknown : \Driver\Disk @ \Device\Harddisk0\DR0 (\SystemRoot\system32\DRIVERS\EMSC.SYS)

    ¤¤¤ Navigateurs web : 1 ¤¤¤
    [PUM.HomePage][FIREFX:Config] l6k4nw8w.default : user_pref("browser.startup.homepage", "https://search.safefinder.com/?q="); -> NON SELECTIONNÉ

    ¤¤¤ MBR Verif : ¤¤¤
    +++++ PhysicalDrive0: WDC WD2500BEVT-75A23T0 ATA Device +++++
    --- User ---
    [MBR] b284973b6619b31198f25d077598d0bb
    [BSP] a540106a20f781a738caa89b2af195b5 : HP MBR Code
    Partition table:
    0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 MB
    1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 81920 | Size: 15000 MB
    2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 30801920 | Size: 223434 MB
    User = LL1 ... OK
    User = LL2 ... OK

    ============================================
    RKreport_DEL_09252014_212244.log - RKreport_SCN_09252014_211304.log - RKreport_SCN_09272014_074722.log
    0
  3. Utilisateur anonyme
     
    ok,

    ceci est un driver, mais pas forcement nocif !

    as tu un logiciel nommé Objectify Media Inc Watchdog, de la société Objectify Media Inc dans la liste de tes programmes ?

    0
  4. Ilemsi Messages postés 28 Statut Membre
     
    Non, je n'ai pas vu ça (recherche via Démarrer --> rechercher -->Objectify Media Inc Watchdog ou Objectify Media Inc)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    regarde dans programmes et fonctionnalités s'il y a un logiciel avec ce nom !

    0
  7. Ilemsi Messages postés 28 Statut Membre
     
    Je te confirme : pas de programme avec ce nom ou cet éditeur!
    0
  8. Utilisateur anonyme
     
    ok,

    sélectionne ce que Roguekiller a trouvé, puis lance la suppression,

    poste son rapport

    0
  9. Ilemsi Messages postés 28 Statut Membre
     
    Je ne peux pas les supprimer : la touche suppression est inactive sur cet onglet rootkit et même lorsque je sélectionne les lignes ssdt.
    0
  10. Utilisateur anonyme
     
    relance le scan, puis clique sur suppression !

    0
  11. Ilemsi Messages postés 28 Statut Membre
     
    Alors, scan relancé, j'ai sélectionné les lignes SSDT--> suppression, mais elles ne se suppriment pas. Je l'ai fait deux fois, au cas où...
    Nouveau rapport scan :
    RogueKiller V9.2.13.0 [Sep 25 2014] par Adlice Software
    Mail : https://www.adlice.com/contact/
    Remontées : https://forum.adlice.com/
    Site Web : https://www.surlatoile.org/RogueKiller/
    Blog : https://www.adlice.com/

    Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Démarrage : Mode normal
    Utilisateur : ismeline [Droits d'admin]
    Mode : Suppression -- Date : 09/27/2014 10:51:38

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrées de registre : 0 ¤¤¤

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Fichiers : 0 ¤¤¤

    ¤¤¤ Fichier HOSTS : 0 ¤¤¤

    ¤¤¤ Antirootkit : 13 (Driver: CHARGE) ¤¤¤
    [SSDT:Addr(Hook.SSDT)] NtCreateFile[66] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dccf8
    [SSDT:Addr(Hook.SSDT)] NtCreateKey[70] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd594
    [SSDT:Addr(Hook.SSDT)] NtDeleteFile[102] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcc8c
    [SSDT:Addr(Hook.SSDT)] NtDeleteValueKey[106] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd8a6
    [SSDT:Addr(Hook.SSDT)] NtOpenFile[179] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcdce
    [SSDT:Addr(Hook.SSDT)] NtOpenKey[182] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd712
    [SSDT:Addr(Hook.SSDT)] NtOpenKeyEx[183] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd686
    [SSDT:Addr(Hook.SSDT)] NtOpenProcess[190] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dda44
    [SSDT:Addr(Hook.SSDT)] NtQueryDirectoryFile[223] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd034
    [SSDT:Addr(Hook.SSDT)] NtSetInformationFile[329] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dcac6
    [SSDT:Addr(Hook.SSDT)] NtSetValueKey[358] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1dd79a
    [SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : C:\Windows\system32\Drivers\pcwatch.sys @ 0x8c1ddae0
    [Filter(Kernel.Filter)] \Driver\atapi @ Unknown : \Driver\Disk @ \Device\Harddisk0\DR0 (\SystemRoot\system32\DRIVERS\EMSC.SYS)

    ¤¤¤ Navigateurs web : 1 ¤¤¤
    [PUM.HomePage][FIREFX:Config] l6k4nw8w.default : user_pref("browser.startup.homepage", "https://search.safefinder.com/?q="); -> NON SELECTIONNÉ

    ¤¤¤ MBR Verif : ¤¤¤
    +++++ PhysicalDrive0: WDC WD2500BEVT-75A23T0 ATA Device +++++
    --- User ---
    [MBR] b284973b6619b31198f25d077598d0bb
    [BSP] a540106a20f781a738caa89b2af195b5 : HP MBR Code
    Partition table:
    0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 MB
    1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 81920 | Size: 15000 MB
    2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 30801920 | Size: 223434 MB
    User = LL1 ... OK
    User = LL2 ... OK

    ============================================
    RKreport_DEL_09252014_212244.log - RKreport_SCN_09252014_211304.log - RKreport_SCN_09272014_074722.log - RKreport_DEL_09272014_075354.log
    RKreport_SCN_09272014_103649.log - RKreport_DEL_09272014_103838.log - RKreport_SCN_09272014_105031.log
    0
  12. Utilisateur anonyme
     
    passe ceci pour voir :

    * Télécharge et enregistre ZHPDiag sur ton bureau :

    https://nicolascoolman.eu

    ou :

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    /!\Utilisateur de Vista, Seven et W8 :

    * Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    => L'icône est sous forme de parchemin.

    * Clique sur « complet »

    * Laisse travailler l'outil, même s'il semble bloqué !

    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur :
    https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

    , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum


    tuto zhpdiag :

    https://nicolascoolman.eu

    0
  13. Utilisateur anonyme
     
    je vois les traces de 3 antivirus :

    MSE, Avast et McAfee et Ad-Aware antivirus ;

    il faut en conserver un seul sur le pc, les autres sont à désinstaller,

    attention, uTorrent se lance au démarrage du pc même quand tu le ne vois pas !

    installe la dernière version de java, adobe flash player et Adobe reader depuis leurs sites dédiés !

    attention à l'installation des barres d'outils !


    * /!\ Avertissement /!\,
    * ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !


    * Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue.

    /!\Utilisateur de Vista, Seven et W8 :

    * Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

    Clique sur « importer »

    Tu vas voir apparaitre un message d'avertissement, clique sur Ok.

    * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
    ---------------------------------------------------------

    Script Zhpfix
    M3 - MFPP: Plugins - [ismeline] -- C:\Users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\searchplugins\Web Search.xml
    M0 - MFSP: prefs.js [ismeline - l6k4nw8w.default] https://search.safefinder.com/?q=
    M2 - MFEP: prefs.js [ismeline - l6k4nw8w.default\{ad9a41d2-9a49-4fa6-a79e-71a0785364c8}] [] MySearchDial NewTab v3.9 (..)
    R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = https://search.safefinder.com/?q=
    R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = https://search.safefinder.com/?q=
    R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://search.safefinder.com/?q=
    R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchUrl,Default = https://search.safefinder.com/?q=
    O4 - GS\Desktop [Public]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com
    O4 - GS\Program [Public]: Mozilla Firefox.lnk . (.Mozilla Corporation - Firefox.) -- C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com
    O4 - GS\QuickLaunch [ismeline]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com
    O4 - GS\Program [ismeline]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com
    O4 - GS\Program [ismeline]: Search.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files\Google\Chrome\Application\chrome.exe https://search.safefinder.com/?q=
    O4 - GS\SystemTools [ismeline]: Internet Explorer (No Add-ons).lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com
    O23 - Service: Protect Monitor (ProtectMonitor) . (...) - C:\monitorsvc.exe
    O41 - Driver: (pcwatch) . (...) - C:\Windows\system32\Drivers\pcwatch.sys
    O41 - Driver: ({2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw) . (.StdLib - StdLib.) - C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw.sys
    [HKCU\Software\AppDataLow\Software\Crossrider]
    [HKCU\Software\AppDataLow\{5F189DF5-2D05-472B-9091-84D9848AE48B}]
    [HKCU\Software\BabylonToolbar]
    [HKCU\Software\DataMngr]
    [HKCU\Software\DataMngr_Toolbar]
    [HKCU\Software\Grand Virtual]
    [HKCU\Software\InstallCore]
    [HKCU\Software\Optimizer Pro]
    [HKCU\Software\PCTRunner]
    [HKCU\Software\SmartbarBackup]
    [HKCU\Software\SmartbarLog]
    [HKCU\Software\Smartbar]
    [HKCU\Software\TutoTag]
    [HKCU\Software\a57dd8dbc68b814]
    [HKCU\Software\globalUpdate]
    [HKLM\Software\Babylon]
    [HKLM\Software\DataMngr]
    [HKLM\Software\GlobalUpdate]
    [HKLM\Software\MYBESTOFFERSTODAY]
    [HKLM\Software\PCDRunner]
    [HKLM\Software\PCTRunner]
    [HKLM\Software\Tarma Installer]
    [HKLM\Software\Tutorials]
    [HKLM\Software\a57dd8dbc68b814]
    [HKLM\Software\webssearchesSoftware]
    C:\Program Files\globalUpdate
    C:\Program Files\PCTRunner
    C:\Program Files\Software
    C:\ProgramData\Babylon
    C:\ProgramData\NeXTCCoup
    C:\ProgramData\Search Protection
    C:\ProgramData\Tarma Installer
    C:\Users\ismeline\AppData\Roaming\Babylon
    C:\Users\ismeline\AppData\Roaming\OpenCandy
    C:\Users\ismeline\AppData\Local\globalUpdate
    C:\Users\ismeline\AppData\Local\LPT
    C:\Users\ismeline\AppData\Local\OpenCandy
    C:\Users\ismeline\AppData\Local\Smartbar
    C:\Users\ismeline\AppData\Local\Software
    O44 - LFC:[MD5.F2E5A0CC408405C595A9CDBF854A38E1] - 24/09/2014 - 19:36:19 ---A- . (.MyOSCompany - Pas de description.) -- C:\Windows\System32\MyOSProtect.dll [304776]
    O44 - LFC:[MD5.7ECA3EF5AC4B760F20AAE2E0EDC56CE6] - 24/09/2014 - 19:43:26 ---A- . (...) -- C:\Windows\System32\MyOSProtect.ini [9672]
    O44 - LFC:[MD5.B0595E8326EC75D5B334E0663FF3D439] - 24/09/2014 - 19:43:26 ---A- . (...) -- C:\Windows\System32\MyOSProtectOff.ini [2312]
    O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\pcwatch.sys . (...) -- C:\Windows\System32\Drivers\pcwatch.sys (.not file.)
    O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\pcwatch.sys . (...) -- C:\Windows\System32\Drivers\pcwatch.sys (.not file.)
    O58 - SDL:02/01/1601 - 23:00:00 ---A- . (...) -- C:\Windows\System32\Drivers\pcwatch.sys [20480]
    O58 - SDL:24/04/2014 - 11:32:28 ---A- . (.StdLib - StdLib.) -- C:\Windows\System32\Drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw.sys [52928]
    O61 - LFC: 21/09/2014 - 11:36:20 ---A- . (.PC Utilities Software Limited.) -- C:\Users\ismeline\AppData\Local\Temp\LiveSupport_setup.exe [1207264]
    O61 - LFC: 24/09/2014 - 11:33:52 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Smartbar\Application\Resources\crdli.dll [329248]
    O61 - LFC: 24/09/2014 - 11:33:52 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Smartbar\Application\Resources\crdlil.dll [67104]
    O61 - LFC: 24/09/2014 - 11:34:22 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Temp\C9CBtmp\vopackage.exe [285095]
    O61 - LFC: 24/09/2014 - 11:34:30 ---A- . (.The Software Group.) -- C:\Users\ismeline\AppData\Local\Temp\C9EDtmp\boxoreinstaller.exe [620656]
    O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Temp\C9EEtmp\mybestofferstoday.exe [3318056]
    O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\GoogleCrashHandler.exe [72872]
    O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\GoogleUpdate.exe [68608]
    O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\GoogleUpdateBroker.exe [46080]
    O61 - LFC: 24/09/2014 - 11:34:36 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\GoogleUpdateOnDemand.exe [46080]
    O61 - LFC: 24/09/2014 - 11:34:37 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\goopdate.dll [761856]
    O61 - LFC: 24/09/2014 - 11:34:37 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\goopdateres_en.dll [26792]
    O61 - LFC: 24/09/2014 - 11:34:37 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\npGoogleUpdate4.dll [220672]
    O61 - LFC: 24/09/2014 - 11:34:37 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\psmachine.dll [155648]
    O61 - LFC: 24/09/2014 - 11:34:38 ---A- . (.globalUpdate.) -- C:\Users\ismeline\AppData\Local\Temp\comh.301820\psuser.dll [155648]
    O61 - LFC: 24/09/2014 - 11:34:52 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Temp\DE55tmp\vopackage.exe [285095]
    O61 - LFC: 24/09/2014 - 11:34:55 ---A- . (.The Software Group.) -- C:\Users\ismeline\AppData\Local\Temp\DE86tmp\boxoreinstaller.exe [620656]
    O61 - LFC: 24/09/2014 - 11:37:11 ---A- . (.HighQVPV24.09.) -- C:\Users\ismeline\AppData\Roaming\JPICA.exe [1911704]
    O61 - LFC: 24/09/2014 - 11:37:24 ---A- . (.HighQVPV24.09.) -- C:\Users\ismeline\AppData\Roaming\RBM.exe [1463192]
    O61 - LFC: 25/09/2014 - 11:36:20 ---A- . (...) -- C:\Users\ismeline\AppData\Local\Temp\nslE5AF.tmp\UAC.dll [16896]
    O64 - Services: CurCS - 20/09/1744 - C:\Windows\system32\Drivers\pcwatch.sys (pcwatch) .(...) - LEGACY_PCWATCH
    O64 - Services: CurCS - 24/04/2014 - C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw.sys ({2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw) .(.StdLib - StdLib.) - LEGACY_{2C976A7F-DBDC-4756-870F-F6D183FE7A7E}GW
    O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Mozilla Firefox\firefox.exe http://istart.webssearches.com
    O68 - StartMenuInternet: <IEXPLORE.EXE> <Internet Explorer>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("browser.search.selectedEngine", "Web Search");
    O69 - SBI: SearchScopes [HKCU] {006ee092-9658-4fd6-bd8e-a21a348e59f5} - (Web Search) - https://search.safefinder.com/?q=
    O69 - SBI: SearchScopes [HKCU] {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} [DefaultScope] - (Trovi search) - https://www.trovi.com/
    [MD5.221DF9E68A02DC86FA554672779E4E16] [SPRF][24/09/2014] (.HighQVPV24.09 - HQVP1.9V24.09 exe.) -- C:\Users\ismeline\AppData\Roaming\JPICA.exe [1911704]
    [MD5.81C82AC22F71146D668F7702F72A9DC8] [SPRF][24/09/2014] (.HighQVPV24.09 - HQVP1.9V24.09 exe.) -- C:\Users\ismeline\AppData\Roaming\RBM.exe [1463192]
    [HKCU\Software\a57dd8dbc68b814\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1095.52]:guid="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
    [HKCU\Software\a57dd8dbc68b814\history\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}2.6.1095.52]:version="2.6.1095.52"
    HKLM\SOFTWARE\Microsoft\Tracing\ClickPotatoLiteSA_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\ClickPotatoLiteSA_RASMANCS
    HKLM\SOFTWARE\Microsoft\Tracing\MyBabylonTB_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\MyBabylonTB_RASMANCS
    HKLM\SOFTWARE\Microsoft\Tracing\questbrowse126_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\questbrowse126_RASMANCS
    HKLM\SOFTWARE\Microsoft\Tracing\questbrowse127_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\questbrowse127_RASMANCS
    HKLM\SOFTWARE\Microsoft\Tracing\Smartbar_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\Smartbar_RASMANCS
    HKLM\SOFTWARE\Microsoft\Tracing\updateWiseEnhance_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\updateWiseEnhance_RASMANCS
    HKLM\SOFTWARE\Microsoft\Tracing\utilWiseEnhance_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\utilWiseEnhance_RASMANCS
    HKLM\SOFTWARE\Microsoft\Tracing\WiseEnhance_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\WiseEnhance_RASMANCS
    HKLM\SOFTWARE\Microsoft\Tracing\yontoo-C4-2488_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\yontoo-C4-2488_RASMANCS
    HKLM\SOFTWARE\Microsoft\Tracing\YontooDesktop_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\YontooDesktop_RASMANCS
    SS - | Auto 02/09/2014 34244 | (ProtectMonitor) . (...) - C:\monitorsvc.exe
    SR - | Demand 01/09/2014 1317096 | (MyOSProtect) . (.MyOSCompany.) - C:\Program Files\PCTRunner\MyOSProtect.exe
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}]
    [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{006EE092-9658-4FD6-BD8E-A21A348E59F5}]
    [HKLM\Software\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}]
    [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}]
    [HKLM\Software\Classes\CLSID\{ae07101b-46d4-4a98-af68-0333ea26e113}]
    [HKLM\Software\Microsoft\Tracing\MyBabylontb_RASAPI32]
    [HKLM\Software\Microsoft\Tracing\MyBabylontb_RASMANCS]
    [HKLM\Software\Classes\Prod.cap]
    [HKLM\Software\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:mbot_fr_112
    C:\Users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\extensions\{ad9a41d2-9a49-4fa6-a79e-71a0785364c8}
    C:\Users\ismeline\AppData\Local\Temp\Smartbar
    O3 - Toolbar: (no name) - [HKLM]{ae07101b-46d4-4a98-af68-0333ea26e113} Clé orpheline
    O42 - Logiciel: Ad-Aware Security Toolbar - (.Lavasoft.) [HKLM] -- adawaretb
    O42 - Logiciel: FBDownloader - (.HTTO Group Ltd.) [HKCU] -- fbDownloader
    [HKCU\Software\AppDataLow\Software\adawaretb]
    [HKCU\Software\YahooPartnerToolbar]
    O43 - CFD: 25/02/2013 - 20:44:34 - [] ----D C:\Users\ismeline\AppData\Roaming\FBDownloader
    O43 - CFD: 30/10/2011 - 21:57:51 - [] ----D C:\Users\ismeline\AppData\Local\APN
    O43 - CFD: 25/02/2013 - 20:44:35 - [] ----D C:\Users\ismeline\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\fbDownloader
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.admin", false);
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.aflt", "babsst");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.autoRvrt", "false");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.dfltLng", "en");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.excTlbr", false);
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.id", "aa3d8dde00000000000000264d790655");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.instlDay", "15765");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.instlRef", "sst");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.newTab", false);
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.prdct", "delta");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.prtnrId", "delta");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.rvrt", "false");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.smplGrp", "none");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.tlbrId", "base");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.tlbrSrchUrl", "");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.vrsn", "1.8.10.0");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.vrsnTs", "1.8.10.012:55:47");
    O69 - SBI: prefs.js [ismeline - l6k4nw8w.default] user_pref("extensions.delta.vrsni", "1.8.10.0");
    HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASAPI32
    HKLM\SOFTWARE\Microsoft\Tracing\BingBar_RASMANCS
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\adawaretb]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
    [HKLM\Software\Classes\CLSID\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{6c97a91e-4524-4019-86af-2aa2d567bf5c}]
    [HKLM\Software\Microsoft\Tracing\BingBar_RASMANCS]
    [HKLM\Software\Microsoft\Tracing\askpartnercobrandingtool_rasmancs]
    [HKLM\Software\Microsoft\Tracing\BingBar_RASAPI32]
    [HKLM\Software\Microsoft\Tracing\askpartnercobrandingtool_rasapi32]
    [HKLM\Software\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}]
    [HKLM\Software\Microsoft\Tracing\apnstub_RASMANCS]
    [HKLM\Software\Microsoft\Tracing\apnstub_RASAPI32]
    C:\Users\ismeline\AppData\LocalLow\adawaretb
    C:\Users\ismeline\AppData\Roaming\Mozilla\Firefox\Profiles\l6k4nw8w.default\adawaretb
    [HKCU\Software\AppDataLow\Software\adawaretb]
    EmptyPrefetch
    ShortcutFix
    Emptytemp
    EmptyClsid


    ----------------------------------------------------------
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - confirme le nettoyage
    - Héberge le rapport ZHPFIX.txt sur
    https://www.cjoint.com/

    puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    Tuto en bas de cette page :
    https://nicolascoolman.eu

    0
  14. Ilemsi Messages postés 28 Statut Membre
     
    De retour!
    Merci pour les conseils, je ne rappelais plus que j'avais utorrent!! Par contre, pour les antivirus McAfee et Avast, ils étaient déjà désinstallés, ce doit être des traces je ne sais pas où...
    En tout cas, voici le rapport : https://www.cjoint.com/?3IBpsPDEGdK
    0
  15. Utilisateur anonyme
     
    ok,

    redémarre le pc et remets moi un nouveau rapport complet de Zhpdiag pour virer le restant des antivirus !

    tu me confirmes bien que ton antivirus est adaware ?

    0
  16. Ilemsi Messages postés 28 Statut Membre
     
    ah non, je l'ai installé il y a qques jours pour faire une analyse, mais normalement c'est MSE. Je l'ai désinstallé tout à l'heure.
    0
    1. Ilemsi Messages postés 28 Statut Membre
       
      *désinstallé Adaware
      0
  17. Utilisateur anonyme
     
    ok, si tu as désinstallé Adaware,

    remets moi un nouveau rapport complet de Zhpdiag pour virer le restant des autres antivirus !

    0
  18. Utilisateur anonyme
     
    c'est étrange, à 14h13, tu t'es fait réinfecté !


    * /!\ Avertissement /!\,
    * ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !


    * Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue.

    /!\Utilisateur de Vista, Seven et W8 :

    * Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

    Clique sur « importer »

    Tu vas voir apparaitre un message d'avertissement, clique sur Ok.

    * * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
    ---------------------------------------------------------

    Script Zhpfix
    O41 - Driver: (pcwatch) . (...) - C:\Windows\system32\Drivers\pcwatch.sys
    [HKLM\Software\PCTRunner]
    O43 - CFD: 27/09/2014 - 15:12:16 - [] ----D C:\Program Files\PCTRunner
    O44 - LFC:[MD5.F2E5A0CC408405C595A9CDBF854A38E1] - 24/09/2014 - 19:36:19 ---A- . (.MyOSCompany - Pas de description.) -- C:\Windows\System32\MyOSProtect.dll [304776]
    O44 - LFC:[MD5.80FB2B6EA70F5E31E4246A1BD9335321] - 27/09/2014 - 14:13:25 ---A- . (...) -- C:\Windows\System32\MyOSProtect.ini [4144]
    O44 - LFC:[MD5.F407818534D6A33D055F188B0F06F681] - 27/09/2014 - 14:13:25 ---A- . (...) -- C:\Windows\System32\MyOSProtectOff.ini [2072]
    O58 - SDL:02/01/1601 - 23:00:00 ---A- . (...) -- C:\Windows\System32\Drivers\pcwatch.sys [20480]
    O64 - Services: CurCS - 20/09/1744 - C:\Windows\system32\Drivers\pcwatch.sys (pcwatch) .(...) - LEGACY_PCWATCH
    SR - | Demand 01/09/2014 1317096 | (MyOSProtect) . (.MyOSCompany.) - C:\Program Files\PCTRunner\MyOSProtect.exe
    [HKLM\Software\McAfee]
    O43 - CFD: 12/04/2011 - 20:04:00 - [] ----D C:\ProgramData\McAfee
    O61 - LFC: 24/09/2014 - 15:49:08 ---A- . (...) -- C:\Users\ismeline\Downloads\Adaware_Installer.exe [2806920]
    [HKCU\Software\JPICA]
    [HKLM\Software\GS_Booster]
    O43 - CFD: 24/09/2014 - 19:23:36 - [0] ----D C:\Program Files\GS_Booster
    EmptyPrefetch
    ShortcutFix
    Emptytemp
    EmptyClsid


    ----------------------------------------------------------
    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - confirme le nettoyage
    - Héberge le rapport ZHPFIX.txt sur
    https://www.cjoint.com/

    puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    Tuto en bas de cette page :
    https://nicolascoolman.eu

    0
  19. Ilemsi Messages postés 28 Statut Membre
     
    Mais mais!! Pourquoi???? En plu à cette heure là, je n'étais pas sur l'ordi...
    Par contre, en attendant, j'ai relancé un scan RogueKiller pour voir et lors du préscan, il m'a indiqué avoir tué le processus "svchost.exe"

    J'attends la fin du scan et applique ton script. Merci.....
    0
  • 1
  • 2
  • 3