Infecté

Résolu
rockwool Messages postés 41 Statut Membre -  
Fish66 Messages postés 18337 Statut Contributeur sécurité -
BONJOUR à tous
je (mon ordi !) pense être infecté...
les 4 CPU qui tournent à 60% en permanance, pb de lenteur...
j'ai passé avira, kapersky en ligne + spybot... et ça m... toujours !!!
j'ai fait des restaurations sans succès....
je me tourne donc humblement vers vous !
Merci par avance !

52 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un utilisateur signale une suspicion d'infection sur Windows, avec les quatre cœurs CPU tournant en permanence à 60% et des lenteurs persistantes, malgré des scans avec Avira, Kaspersky et Spybot. Des solutions de désinfection proposées incluent la désactivation temporaire d’outils d’émulation via Defogger avant d’employer ComboFix, puis la déconnexion réseau et le redémarrage sécurisé pour générer et partager le rapport de diagnostic. Plusieurs outils complémentaires ont été recommandés, notamment Malwarebytes Anti-Malware, ZHPDiag, AdwCleaner et ZHPCleaner, avec des rapports montrant des éléments potentiellement indésirables, des PUP et des redirections publicitaires persistantes. En complément, des rapports de nettoyage indiquent des éléments retirés du registre et des extensions indésirables, nécessitant une remise en sécurité des navigateurs et un redémarrage final.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,
    Commence à désinstaller Spybot, il ne sert à rien! :-)
    * Télécharge ZHPDiag de Nicolas Coolman à partir ce lien :
    https://nicolascoolman.eu
    * Une fois le téléchargement achevé,
    * Double-clique sur l'icône pour lancer le programme. Sous Vista , Seven ou Windows 8 clic droit « exécuter en tant qu'administrateur »
    * Dans la fenêtre ZHPDiag qui vient de s'ouvrir , clique sur "Configurer"
    * Clique sur la loupe en bas à gauche sans signe pour lancer l'analyse.
    * Clique sur OUI à la question "Voulez-vous un rapport full options"
    * Laisse l'outil travailler, il peut être assez long.
    * Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau
    * Héberge le rapport ZHPDiag.txt de ton bureau sur : FEC Upload ou : malekal.com
    * Fais copier/coller le lien fourni dans ta prochaine réponse

    Aide ZHPDiag :https://nicolascoolman.eu

    0
  2. rockwool
     
    Avec mes remerciements !!

    https://forums-fec.be/upload/www/?a=d&i=2747999078
    0
    1. rockwool Messages postés 41 Statut Membre
       
      en plus lorsque je souhaite enlever spy bot cela me met : impossible de démarrer le programme il manque rtl150.bpl
      0
    2. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
       
      Le lien ci-dessus est inaccessible, héberge le rapport ailleurs stp (http://pjjoint.malekal.com/
      Tu peux utiliser revouninstaller pour désinstaller spybot
      --------------
      Télécharge Revo-uninstaller

      Exécute ce fichier pour installation

      *******Aide Revo-uninstaller*******

      @+
      0
  3. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bien!
    1/
    A ne pas oublier d'utiliser qu'un seul antivirus pour éviter les conflits, le ralentissement de ton PC et d'autres problèmes... :
    Utilise ce lien pour désinstaller proprement McAfee
    https://www.pcastuces.com/pratique/astuces/2695.htm

    2/
    --> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


    Script ZHPFix
    Hostfix
    EmptyPrefetch
    ShortcutFix
    M2 - MFEP: prefs.js [Acer - mpbx6jx8.default\{66763889-2a1f-d78c-0ad2-b0723ac619dc}] [] Yahoo Community Smartbar v4.1.0 (..) =>Hijacker.SmartBar
    R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <-loopback> =>Hijacker.Proxy
    O4 - GS\QuickLaunch [UpdatusUser]: Google Chrome.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files\Google\Chrome\Application\chrome.exe http://istart.webssearches.com =>Hijacker.WebsSearches
    O4 - GS\QuickLaunch [UpdatusUser]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com =>Hijacker.WebsSearches
    O4 - GS\TaskBar [Acer]: Livebox.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files\Google\Chrome\Application\chrome.exe http://livebox.home/ =>Hijacker.Browsers
    O4 - GS\Desktop [Acer]: Livebox.lnk . (.Google Inc. - Google Chrome.) -- C:\Program Files\Google\Chrome\Application\chrome.exe http://livebox.home/ =>Hijacker.Browsers
    O20 - AppInit_DLLs: . (...) - C:\Users\Acer\AppData\Local\Smartbar\Application\Resources\crdlil.dll (.not file.) =>Hijacker.SmartBar
    [MD5.00000000000000000000000000000000] [APT] [{07975EB1-623D-44B4-86A4-B15ADA8E42CB}] (...) -- C:\Users\Acer\AppData\Roaming\qone8\UninstallManager.exe (.not file.) [0] =>Hijacker.Qone8
    [MD5.00000000000000000000000000000000] [APT] [{EBEA7876-ADE6-42A4-B848-B663586F4EA8}] (...) -- C:\Users\Acer\AppData\Roaming\webssearches\UninstallManager.exe (.not file.) [0] =>Hijacker.WebsSearches
    O39 - APT: - (..) -- C:\Windows\Tasks\WSE_Astromenda.job [288] =>PUP.Astromenda
    O42 - Logiciel: Yahoo Community Smartbar Engine - (.Linkury Inc..) [HKCU] -- {a4f5befd-28ac-4172-8629-ad6a96bbc9b2}
    [HKCU\Software\Beamrise] =>Hijacker.Beamrise
    C:\ProgramData\C615C90A1FF42AE90000C61502F92EFB
    [MD5.24B9C9035D8116B9FA7E21F0B7113393] [SPRF][12/08/2013] (.PortableXapps® - Adobe Audition CC Portable.) -- C:\Users\Acer\AppData\Roaming\AuditionCCPortable_6.0.0.732_Rev.1.paf.exe [114489829]
    C:\ProgramData\C615C90A1FF42AE90000C61502F92EFB
    [MD5.69580D71E115F34B3861097563AE5BDC] [WIS][06/09/2014] (.Linkury Inc. - Yahoo Community Smartbar (by Linkury).) -- C:\Windows\Installer\543929e.msi [10821632] =>Hijacker.SmartBar
    [MD5.103F619246C8BEFBA0EFA12CD1092648] [WIS][27/08/2014] (.LPT - LPT System Updater Service.) -- C:\Windows\Installer\54392a4.msi [2154496] =>Adware.IncrediBar
    C:\Users\Acer\AppData\Roaming\Mozilla\Firefox\Profiles\mpbx6jx8.default\extensions\{66763889-2a1f-d78c-0ad2-b0723ac619dc} =>Hijacker.SmartBar^
    C:\Windows\Tasks\WSE_Astromenda.job =>PUP.Astromenda^
    [HKCU\Software\Beamrise] =>Hijacker.Beamrise^
    C:\Windows\Installer\543929e.msi =>Hijacker.SmartBar^
    C:\Windows\Installer\54392a4.msi =>Adware.IncrediBar^
    [MD5.00000000000000000000000000000000] [APT] [FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000Core] (...) -- C:\Users\Acer\AppData\Local\Facebook\Update\FacebookUpdate.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000UA] (...) -- C:\Users\Acer\AppData\Local\Facebook\Update\FacebookUpdate.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [{11EEF6E7-2F83-47C6-AB47-4196534301B1}] (...) -- D:\Downloads\ASIO4ALL_2_11_French (4).exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [{5EA2DDB9-84AE-45B6-95AF-4F7332676CD2}] (...) -- D:\Downloads\mmplugin-install.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [{6E286DDB-D9D4-4FCB-ACC2-12FF7CC52E97}] (...) -- C:\Program Files\Piratrax\uninstall.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [{82839CB5-8A37-4B6D-A6C4-8CEC8AF16F17}] (...) -- D:\Downloads\ASIO4ALL_2_11_French (2).exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [{9A70D74D-ED76-440A-86F1-749689B99A3A}] (...) -- D:\Downloads\ASIO4ALL_2_11_French (3).exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [{B8E9CB21-3D4F-4AC3-9E24-E0CC5CB4CF38}] (...) -- C:\Users\Acer\Desktop\pms-setup-windows-1.10.51.exe (.not file.) [0]
    [MD5.9CCE733E5262FB92C2331E8578512B49] [APT] [Check for updates] (.Safer-Networking Ltd..) -- C:\Program Files\Spybot - Search & Destroy 2\SDUpdate.exe [4747720]
    [MD5.48FAE038F51676A795CEFAD780448D94] [APT] [Refresh immunization] (.Safer-Networking Ltd..) -- C:\Program Files\Spybot - Search & Destroy 2\SDImmunize.exe [4460472]
    [MD5.280C014187E24860A7C860329513208F] [APT] [Scan the system] (.Safer-Networking Ltd..) -- C:\Program Files\Spybot - Search & Destroy 2\SDScan.exe [4818848]
    O39 - APT: FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000Core - (...) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000Core.job [902]
    O39 - APT: FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000Core - (...) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000Core [902]
    O39 - APT: FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000UA - (...) -- C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000UA.job [924]
    O39 - APT: FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000UA - (...) -- C:\Windows\System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000UA [924]

    EmptyCLSID
    EmptyFlash
    EmptyTemp


    => Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
    (Sous Vista/Win7/Win8, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
    => Une fois ZHPFix ouvert, clique sur "importer" puis sur "ok" et ensuite colle le texte dans la fenêtre, clique sur GO en bas de page et confirme par oui pour lancer le nettoyage des données

    => laisse travailler l'outil et ne touche à rien ...
    => S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
    Ce rapport est copié sur le bureau

    ( ce rapport est en outre sauvegardé dans ce dossier C:/ZHP/ZHPDIAG)

    ===================================
    Aide :http://helper-formation.fr/entraide/viewtopic.php?f=31&t=2333

    3/
    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    * ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe

    Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe

    * Laisse le prescan se terminer, clique sur Scan

    * Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

    @+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. rockwoll
     
    re bonjour
    j'ai lancé zhpfix mais il n'avance pas...j'ai redémarré et il en est toujours au meme point.... (à peine 5% sur la barre d'avancement... est ce normal ??
    0
  6. rockwool Messages postés 41 Statut Membre
     
    voila il s'est finalement terminé
    Rapport de ZHPFix 2014.10.5.8 par Nicolas Coolman, Update du 05/10/2014
    Fichier d'export Registre :
    Run by Acer at 18/10/2014 17:02:20
    High Elevated Privileges : OK
    Windows 7 Ultimate Edition, 32-bit Service Pack 1 (Build 7601)

    Corbeille vidée (00mn 15s)
    Dossier Prefetcher vidé
    Réparation des raccourcis navigateur

    ========== Logiciels ==========
    SUPPRIMÉ: Yahoo Community Smartbar Engine

    ========== Processus mémoire ==========
    SUPPRIMÉ Redémarrage: Memory Process: C:\Windows\Installer\543929e.msi

    ========== Clés du Registre ==========
    SUPPRIMÉ: [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{a4f5befd-28ac-4172-8629-ad6a96bbc9b2}]
    SUPPRIMÉ: HKCU\Software\Beamrise

    ========== Eléments de donnée du Registre ==========
    SUPPRIMÉ: R1 Search Page = <-loopback>
    SUPPRIMÉ AppInit: \Users\Acer\AppData\Local\Smartbar\Application\Resources\crdlil.dll

    ========== Dossiers ==========
    Aucun dossiers CLSID Local utilisateur vide
    SUPPRIMÉS Flash Cookies (0)
    SUPPRIMÉS Temporaires Windows (36)

    ========== Fichiers ==========
    SUPPRIMÉ: c:\users\acer\appdata\roaming\microsoft\internet explorer\quick launch\google chrome.lnk (http://istart.webssearches.com)
    CRÉÉ: C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
    SUPPRIMÉ: c:\users\acer\appdata\roaming\microsoft\internet explorer\quick launch\launch internet explorer browser.lnk (http://istart.webssearches.com)
    CRÉÉ: C:\Users\Acer\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
    SUPPRIMÉ: c:\users\acer\appdata\roaming\microsoft\internet explorer\quick launch\user pinned\taskbar\livebox.lnk (http://livebox.home/)
    SUPPRIMÉ: c:\users\acer\desktop\livebox.lnk (http://livebox.home/)
    SUPPRIMÉ: c:\windows\tasks\wse_astromenda.job
    SUPPRIMÉ: C:\Windows\Installer\54392a4.msi
    SUPPRIMÉS Flash Cookies (0) (0 octets)
    SUPPRIMÉS Temporaires Windows (1537) (335 298 602 octets)

    ========== Fichier HOSTS ==========
    Fichier Hosts verrouillé ou absent !

    ========== Tache planifiée ==========
    SUPPRIMÉ: {07975EB1-623D-44B4-86A4-B15ADA8E42CB}
    SUPPRIMÉ: {EBEA7876-ADE6-42A4-B848-B663586F4EA8}
    SUPPRIMÉ: FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000Core
    SUPPRIMÉ: FacebookUpdateTaskUserS-1-5-21-1478629230-2715412510-1536352069-1000UA
    SUPPRIMÉ: {11EEF6E7-2F83-47C6-AB47-4196534301B1}
    SUPPRIMÉ: {5EA2DDB9-84AE-45B6-95AF-4F7332676CD2}
    SUPPRIMÉ: {6E286DDB-D9D4-4FCB-ACC2-12FF7CC52E97}
    SUPPRIMÉ: {82839CB5-8A37-4B6D-A6C4-8CEC8AF16F17}
    SUPPRIMÉ: {9A70D74D-ED76-440A-86F1-749689B99A3A}
    SUPPRIMÉ: {B8E9CB21-3D4F-4AC3-9E24-E0CC5CB4CF38}
    SUPPRIMÉ: Check for updates
    SUPPRIMÉ: Refresh immunization
    SUPPRIMÉ: Scan the system

    ========== Récapitulatif ==========
    1 : Processus mémoire
    2 : Clés du Registre
    2 : Eléments de donnée du Registre
    3 : Dossiers
    10 : Fichiers
    1 : Logiciels
    1 : Fichier HOSTS
    13 : Tache planifiée

    End of clean in 01mn 17s

    ========== Chemin de fichier rapport ==========
    C:\Users\Acer\AppData\Roaming\ZHP\ZHPFix[R1].txt - 18/10/2014 17:02:39 [3017]
    0
  7. rockwool Messages postés 41 Statut Membre
     
    Et enfin...
    en tout cas merci pour la peine !!! c'est vraiment hyper sympa !!!
    A noter que le processeur est toujours à 60% !!!! grrrrrr

    RogueKiller V10.0.2.0 [Oct 16 2014] par Adlice Software
    email : https://www.adlice.com/contact/
    Remontées : https://forum.adlice.com/
    Site web : https://www.surlatoile.org/RogueKiller/
    Blog : https://www.adlice.com/

    Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Démarré en : Mode normal
    Utilisateur : Acer [Administrateur]
    Mode : Scan -- Date : 10/18/2014 17:29:23

    ¤¤¤ Processus : 0 ¤¤¤

    ¤¤¤ Registre : 25 ¤¤¤
    [Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce | Del5596379 : cmd.exe /Q /D /c del "C:\Users\Acer\AppData\Local\Temp\43494.del" -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce | Del5600841 : cmd.exe /Q /D /c del "C:\Users\Acer\AppData\Local\Temp\97478.del" -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce | Del5602276 : cmd.exe /Q /D /c del "C:\Users\Acer\AppData\Local\Temp\62958.del" -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce | Del5602978 : cmd.exe /Q /D /c del "C:\Users\Acer\AppData\Local\Temp\70489.del" -> Trouvé(e)
    [Suspicious.Path] HKEY_USERS\S-1-5-21-1478629230-2715412510-1536352069-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce | DigitalSites : wscript /E:vbscript /B "C:\Users\Acer\AppData\Roaming\DigitalSites\UpdateProc\bkup.dat" -> Trouvé(e)
    [Suspicious.Path] HKEY_USERS\S-1-5-21-1478629230-2715412510-1536352069-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce | Del5596379 : cmd.exe /Q /D /c del "C:\Users\Acer\AppData\Local\Temp\43494.del" -> Trouvé(e)
    [Suspicious.Path] HKEY_USERS\S-1-5-21-1478629230-2715412510-1536352069-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce | Del5600841 : cmd.exe /Q /D /c del "C:\Users\Acer\AppData\Local\Temp\97478.del" -> Trouvé(e)
    [Suspicious.Path] HKEY_USERS\S-1-5-21-1478629230-2715412510-1536352069-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce | Del5602276 : cmd.exe /Q /D /c del "C:\Users\Acer\AppData\Local\Temp\62958.del" -> Trouvé(e)
    [Suspicious.Path] HKEY_USERS\S-1-5-21-1478629230-2715412510-1536352069-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce | Del5602978 : cmd.exe /Q /D /c del "C:\Users\Acer\AppData\Local\Temp\70489.del" -> Trouvé(e)
    [Suspicious.Path] HKEY_USERS\S-1-5-21-1478629230-2715412510-1536352069-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce | WSE_Astromenda : wscript /E:vbscript /B "C:\Users\Acer\AppData\Roaming\WSE_Astromenda\UpdateProc\bkup.dat" -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme (\??\C:\Users\Acer\AppData\Local\Temp\catchme.sys) -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme (\??\C:\Users\Acer\AppData\Local\Temp\catchme.sys) -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme (\??\C:\Users\Acer\AppData\Local\Temp\catchme.sys) -> Trouvé(e)
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme (\??\C:\Users\Acer\AppData\Local\Temp\catchme.sys) -> Trouvé(e)
    [PUM.HomePage] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
    [PUM.HomePage] HKEY_USERS\S-1-5-21-1478629230-2715412510-1536352069-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://astromenda.com/... -> Trouvé(e)
    [PUM.HomePage] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Trouvé(e)
    [PUM.SearchPage] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
    [PUM.SearchPage] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Trouvé(e)
    [PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8193F36C-5A7E-4A73-ACEE-ABBFD3625DCF} | DhcpNameServer : 172.20.10.1 -> Trouvé(e)
    [PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8193F36C-5A7E-4A73-ACEE-ABBFD3625DCF} | DhcpNameServer : 172.20.10.1 -> Trouvé(e)
    [PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8193F36C-5A7E-4A73-ACEE-ABBFD3625DCF} | DhcpNameServer : 172.20.10.1 -> Trouvé(e)
    [PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Tcpip\Parameters\Interfaces\{8193F36C-5A7E-4A73-ACEE-ABBFD3625DCF} | DhcpNameServer : 172.20.10.1 -> Trouvé(e)
    [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Trouvé(e)
    [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Trouvé(e)

    ¤¤¤ Tâches : 4 ¤¤¤
    [Suspicious.Path] Digital Sites.job -- C:\Users\Acer\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE (/Check) -> Trouvé(e)
    [Suspicious.Path] WSE_Astromenda.job -- C:\Users\Acer\AppData\Roaming\WSE_AS~1\UPDATE~1\UPDATE~1.EXE (/Check) -> Trouvé(e)
    [Suspicious.Path] \\Digital Sites -- C:\Users\Acer\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE (/Check) -> Trouvé(e)
    [Suspicious.Path] \\WSE_Astromenda -- C:\Users\Acer\AppData\Roaming\WSE_AS~1\UPDATE~1\UPDATE~1.EXE (/Check) -> Trouvé(e)

    ¤¤¤ Fichiers : 0 ¤¤¤

    ¤¤¤ Fichier Hosts : 0 [Too big!] ¤¤¤

    ¤¤¤ Antirootkit : 42 (Driver: Chargé) ¤¤¤
    [SSDT:Addr(Hook.SSDT)] NtCreateSection[84] : Unknown @ 0x9207a34e
    [SSDT:Addr(Hook.SSDT)] NtRequestWaitReplyPort[299] : Unknown @ 0x9207a358
    [SSDT:Addr(Hook.SSDT)] NtSetContextThread[316] : Unknown @ 0x9207a353
    [SSDT:Addr(Hook.SSDT)] NtSetSecurityObject[347] : Unknown @ 0x9207a35d
    [SSDT:Addr(Hook.SSDT)] NtSystemDebugControl[368] : Unknown @ 0x9207a362
    [SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : Unknown @ 0x9207a2ef
    [ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : Unknown @ 0x9207a376
    [ShwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[588] : Unknown @ 0x9207a37b
    [IAT:Addr] (explorer.exe @ POWRPROF.dll) SETUPAPI.dll - CM_Get_DevNode_Status : C:\Windows\system32\CFGMGR32.dll @ 0x75ba7498
    [IAT:Addr] (explorer.exe @ POWRPROF.dll) SETUPAPI.dll - CM_Get_Device_IDW : C:\Windows\system32\CFGMGR32.dll @ 0x75ba86ef
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CLSIDFromString : C:\Windows\system32\ole32.dll @ 0x7732e599
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoUnmarshalInterface : C:\Windows\system32\ole32.dll @ 0x7733f150
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoGetClassObject : C:\Windows\system32\ole32.dll @ 0x773454ad
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoCreateInstance : C:\Windows\system32\ole32.dll @ 0x77359d0b
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoSetProxyBlanket : C:\Windows\system32\ole32.dll @ 0x77325ea5
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - StringFromCLSID : C:\Windows\system32\ole32.dll @ 0x7732eb17
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoCreateGuid : C:\Windows\system32\ole32.dll @ 0x773515d5
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoGetTreatAsClass : C:\Windows\system32\ole32.dll @ 0x7733a72f
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoGetMarshalSizeMax : C:\Windows\system32\ole32.dll @ 0x7733f1eb
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoMarshalInterface : C:\Windows\system32\ole32.dll @ 0x7733ef03
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - StringFromGUID2 : C:\Windows\system32\ole32.dll @ 0x773522ec
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - FreePropVariantArray : C:\Windows\system32\ole32.dll @ 0x77322d6d
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoInitializeEx : C:\Windows\system32\ole32.dll @ 0x773509ad
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoFreeUnusedLibraries : C:\Windows\system32\ole32.dll @ 0x773a0cc2
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoTaskMemAlloc : C:\Windows\system32\ole32.dll @ 0x7735ea4c
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoTaskMemFree : C:\Windows\system32\ole32.dll @ 0x77366f41
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CLSIDFromProgID : C:\Windows\system32\ole32.dll @ 0x7733503c
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoUninitialize : C:\Windows\system32\ole32.dll @ 0x773586d3
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoExW : C:\Windows\system32\version.dll @ 0x74e11a15
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueW : C:\Windows\system32\version.dll @ 0x74e11b51
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoSizeExW : C:\Windows\system32\version.dll @ 0x74e118e9
    [IAT:Addr] (explorer.exe @ iertutil.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueW : C:\Windows\system32\version.dll @ 0x74e11b51
    [IAT:Addr] (explorer.exe @ iertutil.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoExW : C:\Windows\system32\version.dll @ 0x74e11a15
    [IAT:Addr] (explorer.exe @ iertutil.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoSizeExW : C:\Windows\system32\version.dll @ 0x74e118e9
    [IAT:Addr] (explorer.exe @ WININET.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoSizeExW : C:\Windows\system32\version.dll @ 0x74e118e9
    [IAT:Addr] (explorer.exe @ WININET.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueA : C:\Windows\system32\version.dll @ 0x74e11b72
    [IAT:Addr] (explorer.exe @ WININET.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoExW : C:\Windows\system32\version.dll @ 0x74e11a15
    [IAT:Addr] (explorer.exe @ WININET.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueW : C:\Windows\system32\version.dll @ 0x74e11b51
    [IAT:Addr] (explorer.exe @ ieframe.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoSizeExW : C:\Windows\system32\version.dll @ 0x74e118e9
    [IAT:Addr] (explorer.exe @ ieframe.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoExW : C:\Windows\system32\version.dll @ 0x74e11a15
    [IAT:Addr] (explorer.exe @ ieframe.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueW : C:\Windows\system32\version.dll @ 0x74e11b51
    [IAT:Addr] (explorer.exe @ acppage.dll) sfc.dll - SfcIsFileProtected : C:\Windows\system32\sfc_os.DLL @ 0x60eb1e56

    ¤¤¤ Navigateurs web : 1 ¤¤¤
    [PUM.HomePage][FIREFX:Config] mpbx6jx8.default : user_pref("browser.startup.homepage", "http://astromenda.com/..."); -> Trouvé(e)

    ¤¤¤ Vérification MBR : ¤¤¤
    +++++ PhysicalDrive0: Hitachi HDP725032GLA380 ATA Device +++++
    --- User ---
    [MBR] f59707bf92beadf2b6169efc94dc9529
    [BSP] 3d4dd56cfff4ea45165a274c86a5815f : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 157650 MB
    2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 323074048 | Size: 147493 MB
    User = LL1 ... OK
    User = LL2 ... OK

    +++++ PhysicalDrive1: Generic- Compact Flash USB Device +++++
    Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
    Error reading LL1 MBR! NOT VALID!
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive2: Generic- SM/xD-Picture USB Device +++++
    Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
    Error reading LL1 MBR! NOT VALID!
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive3: Generic- SD/MMC USB Device +++++
    Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
    Error reading LL1 MBR! NOT VALID!
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive4: Generic- MS/MS-Pro USB Device +++++
    Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
    Error reading LL1 MBR! NOT VALID!
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    ============================================
    RKreport_SCN_10182014_172033.log
    0
  8. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bien! :-)
    Suivant l'ordre fais ceci stp :
    1/
    Relance RogueKiller, choisis "suppression" ensuite "Host Raz" et poste le les deux rapports correspondants à ces 2 options

    2/
    [*] Lance Malwarebytes.
    [*] Mets le à jour puis lance un examen "Menaces".
    [*] coche "Recherche de rootkits" (Paramètres -> Détection et protection)
    [*] A la fin du scan, clic sur "Mettre tous en quarantaine" en bas à gauche.
    [*] Redémarre l'ordinateur si besoin.
    [*] Après redémarrage, relance Malwarebytes.
    [*] Vas chercher le rapport dans l'onglet "Historique".
    [*] Clic à gauche sur l'onglet Journaux de l'application.
    [*] Double-clic sur le journal d'examen pour l'afficher.
    [*] En bas à gauche choisis "Copier dans le presse papier"
    [*] colle le rapport le contenu du journal ici
    =================================
    Si tu as besoin d'aide tu peux voir ce tutoriel :https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    @+
    0
  9. rockwool Messages postés 41 Statut Membre
     
    Bonsoir, j'en suis au point 1 dont report ci dessous....mais pas de bouotn HOST RAZ !!!!
    RogueKiller V10.0.2.0 [Oct 16 2014] par Adlice Software
    email : https://www.adlice.com/contact/
    Remontées : https://forum.adlice.com/
    Site web : https://www.surlatoile.org/RogueKiller/
    Blog : https://www.adlice.com/

    Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
    Démarré en : Mode normal
    Utilisateur : Acer [Administrateur]
    Mode : Suppression -- Date : 10/18/2014 19:47:32

    ¤¤¤ Processus : 0 ¤¤¤

    ¤¤¤ Registre : 17 ¤¤¤
    [Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce | DelTr9474829 : cmd.exe /c rd /s /q "C:\Users\Acer\AppData\Roaming\WSE_Astromenda" [7][x][x][x][x][-] -> ERROR [0]
    [Suspicious.Path] HKEY_USERS\S-1-5-21-1478629230-2715412510-1536352069-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce | DelTr9474829 : cmd.exe /c rd /s /q "C:\Users\Acer\AppData\Roaming\WSE_Astromenda" [7][x][x][x][x][-] -> ERROR [0]
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme (\??\C:\Users\Acer\AppData\Local\Temp\catchme.sys) -> Non sélectionné
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme (\??\C:\Users\Acer\AppData\Local\Temp\catchme.sys) -> Non sélectionné
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme (\??\C:\Users\Acer\AppData\Local\Temp\catchme.sys) -> Non sélectionné
    [Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme (\??\C:\Users\Acer\AppData\Local\Temp\catchme.sys) -> Non sélectionné
    [PUM.HomePage] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Non sélectionné
    [PUM.HomePage] HKEY_USERS\S-1-5-21-1478629230-2715412510-1536352069-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://astromenda.com/... -> Non sélectionné
    [PUM.HomePage] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome -> Non sélectionné
    [PUM.SearchPage] HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Non sélectionné
    [PUM.SearchPage] HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main | Search Page : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> Non sélectionné
    [PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8193F36C-5A7E-4A73-ACEE-ABBFD3625DCF} | DhcpNameServer : 172.20.10.1 -> Non sélectionné
    [PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8193F36C-5A7E-4A73-ACEE-ABBFD3625DCF} | DhcpNameServer : 172.20.10.1 -> Non sélectionné
    [PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8193F36C-5A7E-4A73-ACEE-ABBFD3625DCF} | DhcpNameServer : 172.20.10.1 -> Non sélectionné
    [PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Tcpip\Parameters\Interfaces\{8193F36C-5A7E-4A73-ACEE-ABBFD3625DCF} | DhcpNameServer : 172.20.10.1 -> Non sélectionné
    [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Non sélectionné
    [PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Non sélectionné

    ¤¤¤ Tâches : 0 ¤¤¤

    ¤¤¤ Fichiers : 0 ¤¤¤

    ¤¤¤ Fichier Hosts : 0 [Too big!] ¤¤¤

    ¤¤¤ Antirootkit : 42 (Driver: Chargé) ¤¤¤
    [SSDT:Addr(Hook.SSDT)] NtCreateSection[84] : Unknown @ 0x9207a34e
    [SSDT:Addr(Hook.SSDT)] NtRequestWaitReplyPort[299] : Unknown @ 0x9207a358
    [SSDT:Addr(Hook.SSDT)] NtSetContextThread[316] : Unknown @ 0x9207a353
    [SSDT:Addr(Hook.SSDT)] NtSetSecurityObject[347] : Unknown @ 0x9207a35d
    [SSDT:Addr(Hook.SSDT)] NtSystemDebugControl[368] : Unknown @ 0x9207a362
    [SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : Unknown @ 0x9207a2ef
    [ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : Unknown @ 0x9207a376
    [ShwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[588] : Unknown @ 0x9207a37b
    [IAT:Addr] (explorer.exe @ POWRPROF.dll) SETUPAPI.dll - CM_Get_DevNode_Status : C:\Windows\system32\CFGMGR32.dll @ 0x75ba7498
    [IAT:Addr] (explorer.exe @ POWRPROF.dll) SETUPAPI.dll - CM_Get_Device_IDW : C:\Windows\system32\CFGMGR32.dll @ 0x75ba86ef
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CLSIDFromString : C:\Windows\system32\ole32.dll @ 0x7732e599
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoUnmarshalInterface : C:\Windows\system32\ole32.dll @ 0x7733f150
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoGetClassObject : C:\Windows\system32\ole32.dll @ 0x773454ad
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoCreateInstance : C:\Windows\system32\ole32.dll @ 0x77359d0b
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoSetProxyBlanket : C:\Windows\system32\ole32.dll @ 0x77325ea5
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - StringFromCLSID : C:\Windows\system32\ole32.dll @ 0x7732eb17
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoCreateGuid : C:\Windows\system32\ole32.dll @ 0x773515d5
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoGetTreatAsClass : C:\Windows\system32\ole32.dll @ 0x7733a72f
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoGetMarshalSizeMax : C:\Windows\system32\ole32.dll @ 0x7733f1eb
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoMarshalInterface : C:\Windows\system32\ole32.dll @ 0x7733ef03
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - StringFromGUID2 : C:\Windows\system32\ole32.dll @ 0x773522ec
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - FreePropVariantArray : C:\Windows\system32\ole32.dll @ 0x77322d6d
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoInitializeEx : C:\Windows\system32\ole32.dll @ 0x773509ad
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoFreeUnusedLibraries : C:\Windows\system32\ole32.dll @ 0x773a0cc2
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoTaskMemAlloc : C:\Windows\system32\ole32.dll @ 0x7735ea4c
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoTaskMemFree : C:\Windows\system32\ole32.dll @ 0x77366f41
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CLSIDFromProgID : C:\Windows\system32\ole32.dll @ 0x7733503c
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-ole32-l1-1-0.dll - CoUninitialize : C:\Windows\system32\ole32.dll @ 0x773586d3
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoExW : C:\Windows\system32\version.dll @ 0x74e11a15
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueW : C:\Windows\system32\version.dll @ 0x74e11b51
    [IAT:Addr] (explorer.exe @ urlmon.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoSizeExW : C:\Windows\system32\version.dll @ 0x74e118e9
    [IAT:Addr] (explorer.exe @ iertutil.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueW : C:\Windows\system32\version.dll @ 0x74e11b51
    [IAT:Addr] (explorer.exe @ iertutil.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoExW : C:\Windows\system32\version.dll @ 0x74e11a15
    [IAT:Addr] (explorer.exe @ iertutil.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoSizeExW : C:\Windows\system32\version.dll @ 0x74e118e9
    [IAT:Addr] (explorer.exe @ WININET.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoSizeExW : C:\Windows\system32\version.dll @ 0x74e118e9
    [IAT:Addr] (explorer.exe @ WININET.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueA : C:\Windows\system32\version.dll @ 0x74e11b72
    [IAT:Addr] (explorer.exe @ WININET.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoExW : C:\Windows\system32\version.dll @ 0x74e11a15
    [IAT:Addr] (explorer.exe @ WININET.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueW : C:\Windows\system32\version.dll @ 0x74e11b51
    [IAT:Addr] (explorer.exe @ ieframe.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoSizeExW : C:\Windows\system32\version.dll @ 0x74e118e9
    [IAT:Addr] (explorer.exe @ ieframe.dll) api-ms-win-downlevel-version-l1-1-0.dll - GetFileVersionInfoExW : C:\Windows\system32\version.dll @ 0x74e11a15
    [IAT:Addr] (explorer.exe @ ieframe.dll) api-ms-win-downlevel-version-l1-1-0.dll - VerQueryValueW : C:\Windows\system32\version.dll @ 0x74e11b51
    [IAT:Addr] (explorer.exe @ acppage.dll) sfc.dll - SfcIsFileProtected : C:\Windows\system32\sfc_os.DLL @ 0x60eb1e56

    ¤¤¤ Navigateurs web : 1 ¤¤¤
    [PUM.HomePage][FIREFX:Config] mpbx6jx8.default : user_pref("browser.startup.homepage", "http://astromenda.com/..."); -> Non sélectionné

    ¤¤¤ Vérification MBR : ¤¤¤
    +++++ PhysicalDrive0: Hitachi HDP725032GLA380 ATA Device +++++
    --- User ---
    [MBR] f59707bf92beadf2b6169efc94dc9529
    [BSP] 3d4dd56cfff4ea45165a274c86a5815f : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
    1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 157650 MB
    2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 323074048 | Size: 147493 MB
    User = LL1 ... OK
    User = LL2 ... OK

    +++++ PhysicalDrive1: Generic- Compact Flash USB Device +++++
    Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
    Error reading LL1 MBR! NOT VALID!
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive2: Generic- SM/xD-Picture USB Device +++++
    Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
    Error reading LL1 MBR! NOT VALID!
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive3: Generic- SD/MMC USB Device +++++
    Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
    Error reading LL1 MBR! NOT VALID!
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    +++++ PhysicalDrive4: Generic- MS/MS-Pro USB Device +++++
    Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
    Error reading LL1 MBR! NOT VALID!
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    ============================================
    RKreport_DEL_10182014_193236.log - RKreport_SCN_10182014_172033.log - RKreport_SCN_10182014_172918.log - RKreport_SCN_10182014_194605.log
    RKreport_DEL_10182014_194707.log
    0
  10. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,
    D'accord!
    1/
    Il manque le rapport de Malwarebytes

    2/
    * Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.

    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Personnalisation, copie-colle le texte en gras ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c


    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le lien pjjoint ici ensuite pour pouvoir être consultés.

    @+
    0
  11. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,
    1/
    Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Dans la partie "Personnalisation", copie/colle les instructions suivantes :

    :OTL
    DRV - (esgiguard) -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys File not found
    [2014/10/18 17:06:20 | 000,000,000 | ---D | C] -- C:\Users\Acer\AppData\Roaming\DigitalSites
    [2014/10/05 01:06:00 | 000,000,288 | ---- | M] () -- C:\Windows\tasks\WSE_Astromenda.job
    [2014/10/18 20:42:32 | 000,000,000 | ---D | M] -- C:\Users\Acer\AppData\Roaming\DigitalSites
    [2013/12/21 00:11:56 | 000,000,000 | ---D | M] -- C:\Users\Acer\AppData\Roaming\DriverTurbo
    @Alternate Data Stream - 933 bytes -> D:\Documents\Exclusif _ -20% sur tous vos achats dès aujourd'hui.eml:OECustomProperty

    :Files
    C:\ProgramData\omozkgnpboqezvx

    :Commands
    [RESETHOSTS]
    [emptytemp]


    * Clique sur le bouton Correction.
    * Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    * Accepte en cliquant sur OK.
    * Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

    2/
    Tu as oublié de poster le rapport de Malwarebytes! :-)
    Poste le stp..
    @+

    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  12. rockwool Messages postés 41 Statut Membre
     
    bonjour,
    je ne sais pas ou se trouve le rapport malware bytes...
    pour le otl voila ce qu'il me donne, sauf que ça a planté le programme
    All processes killed
    ========== OTL ==========
    Service esgiguard stopped successfully!
    Service esgiguard deleted successfully!
    File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys File not found not found.
    C:\Users\Acer\AppData\Roaming\DigitalSites folder moved successfully.
    C:\Windows\Tasks\WSE_Astromenda.job moved successfully.
    Folder C:\Users\Acer\AppData\Roaming\DigitalSites\ not found.
    C:\Users\Acer\AppData\Roaming\DriverTurbo\Download folder moved successfully.
    C:\Users\Acer\AppData\Roaming\DriverTurbo\Backup folder moved successfully.
    C:\Users\Acer\AppData\Roaming\DriverTurbo folder moved successfully.
    ADS D:\Documents\Exclusif _ -20% sur tous vos achats dès aujourd'hui.eml:OECustomProperty deleted successfully.
    ========== FILES ==========
    C:\ProgramData\omozkgnpboqezvx moved successfully.
    ========== COMMANDS ==========
    File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
    Error: Unble to create default HOSTS file!

    [EMPTYTEMP]

    User: Acer
    ->Temp folder emptied: 77859932 bytes
    ->Temporary Internet Files folder emptied: 7530 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 52395359 bytes
    ->Google Chrome cache emptied: 12138972 bytes
    ->Flash cache emptied: 55148 bytes

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 57311 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Hudson

    User: Public
    ->Temp folder emptied: 0 bytes

    User: UpdatusUser
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 1499148 bytes
    %systemroot%\System32 .tmp files removed: 32136968 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 11580055 bytes
    RecycleBin emptied: 33306768 bytes

    Total Files Cleaned = 211,00 mb

    OTL by OldTimer - Version 3.2.69.0 log created on 10202014_093632

    Files\Folders moved on Reboot...
    File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
    File move failed. C:\Windows\temp\Low\SkypeClickToCall\Logs\AutoUpdateSvc.log scheduled to be moved on reboot.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    0
  13. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    OK!
    1/
    Concernant le rapport de mbam :
    * Vas chercher le rapport dans l'onglet "Historique".
    * Clic à gauche sur l'onglet Journaux de l'application.
    * Double-clic sur le journal d'examen pour l'afficher.
    * En bas à gauche choisis "Copier dans le presse papier"
    * colle le rapport le contenu du journal ici

    2/
    Il me faut un nouveau rapport OTL :
    https://forums.commentcamarche.net/forum/affich-30924358-infecte#12

    @+

    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  14. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    Ton fichier hosts n'est pas en forme du tout! :-) :

    1/
    [*] Reancez RogueKiller
    [*] Attendez que le Préscan ait fini
    [*] Acceptez l'EULA
    [*] Dans l'onglet Fichier Hosts, cliquez sur Réparation fichier Hosts.

    2/
    * Télécharge Rsthosts
    * Lance le ainsi
    * Utilisateurs Windows XP => double clique >>sur RstHosts .exe
    * Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur RstHosts .exe .
    * Appuie sur Restaurer.
    * Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
    * Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt)

    3/
    [*] Lance Malwarebytes.
    [*] Mets le à jour puis lance un examen "Menaces".
    [*] coche "Recherche de rootkits" (Paramètres -> Détection et protection)
    [*] A la fin du scan, clic sur "Mettre tous en quarantaine" en bas à gauche.
    [*] Redémarre l'ordinateur si besoin.
    [*] Après redémarrage, relance Malwarebytes.
    [*] Vas chercher le rapport dans l'onglet "Historique".
    [*] Clic à gauche sur l'onglet Journaux de l'application.
    [*] Double-clic sur le journal d'examen pour l'afficher.
    [*] En bas à gauche choisis "Copier dans le presse papier"
    [*] colle le rapport le contenu du journal ici

    @+

    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  15. rockwool Messages postés 41 Statut Membre
     
    bonsoir
    1- les restauration ou réparation de host sont très rapide;;;a PEINE QQ SECONDE §
    2- -|x| RstHosts v2.0 - Rapport créé le 22/10/2014 à 23:21:05
    -|x| Système d'exploitation : Windows 7 Ultimate Service Pack 1 (32 bits)
    -|x| Nom d'utilisateur : Acer - ACER-PC (Administrateur)

    -|x|- Informations -|x|-

    Emplacement : C:\Windows\System32\drivers\etc\hosts
    Attribut(s) : RASH
    Propriétaire : Administrateurs - BUILTIN
    Taille : 89 bytes
    Date de création : 14/07/2009 - 04:04:17
    Date de modification : 22/10/2014 - 23:20:59
    Date de dernier accès : 22/10/2014 - 23:20:59

    -|x|- Contenu du fichier -|x|-

    # Fichier Hosts créé par RstHosts

    127.0.0.1 localhost
    ::1 localhost

    -|x|- E.O.F - C:\RstHosts.txt - 619 bytes -|x|-
    0
  16. rockwool Messages postés 41 Statut Membre
     
    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Scan Date: 22/10/2014
    Scan Time: 23:51:22
    Logfile: malware 22 oct.txt
    Administrator: Yes

    Version: 2.00.3.1025
    Malware Database: v2014.10.22.10
    Rootkit Database: v2014.10.22.01
    License: Free
    Malware Protection: Disabled
    Malicious Website Protection: Disabled
    Chameleon: Disabled

    OS: Windows 7 Service Pack 1
    CPU: x86
    File System: NTFS
    User: Acer

    Scan Type: Threat Scan
    Result: Completed
    Objects Scanned: 370080
    Time Elapsed: 25 min, 22 sec

    Memory: Enabled
    Startup: Enabled
    Filesystem: Enabled
    Archives: Enabled
    Rootkits: Disabled
    Shuriken: Enabled
    PUP: Enabled
    PUM: Enabled

    Processes: 0
    (No malicious items detected)

    Modules: 0
    (No malicious items detected)

    Registry Keys: 3
    PUP.Optional.SupTab.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}, , [ecd6a5722557b0864c3e416612f017e9],
    PUP.Optional.Complitly.A, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\defdhglnppeioeflggkmglipcecffkhk, , [1ea4f720bfbdf93dfccb2e5e8e76b050],
    PUP.Optional.FastStart.A, HKU\S-1-5-21-1478629230-2715412510-1536352069-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MOZILLA\EXTENDS, , [5d652fe8ea92171f0982f033f80b1de3],

    Registry Values: 1
    PUP.Optional.FastStart.A, HKU\S-1-5-21-1478629230-2715412510-1536352069-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MOZILLA\EXTENDS|appid, faststartff@gmail.com, , [5d652fe8ea92171f0982f033f80b1de3]

    Registry Data: 0
    (No malicious items detected)

    Folders: 0
    (No malicious items detected)

    Files: 1
    PUP.Optional.SnapDo.A, C:\Windows\Installer\543929e.msi, , [af132bec7efebb7b5a2222775fa29967],

    Physical Sectors: 0
    (No malicious items detected)

    (end)
    0
  17. rockwool Messages postés 41 Statut Membre
     
    Je n'avais pas mis l'option rootkit...
    donc j'ai rescanné et mis en quarantaine 6 nouveaux malware...

    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Date de l'examen: 23/10/2014
    Heure de l'examen: 00:34:00
    Fichier journal: malware 23 oct.txt
    Administrateur: Oui

    Version: 2.00.3.1025
    Base de données Malveillants: v2014.10.22.10
    Base de données Rootkits: v2014.10.22.01
    Licence: Gratuit
    Protection contre les malveillants: Désactivé(e)
    Protection contre les sites Web malveillants: Désactivé(e)
    Chameleon: Désactivé(e)

    Système d'exploitation: Windows 7 Service Pack 1
    Processeur: x86
    Système de fichiers: NTFS
    Utilisateur: Acer

    Type d'examen: Examen "Menaces"
    Résultat: Terminé
    Objets analysés: 371310
    Temps écoulé: 31 min, 12 sec

    Mémoire: Activé(e)
    Démarrage: Activé(e)
    Système de fichiers: Activé(e)
    Archives: Activé(e)
    Rootkits: Activé(e)
    Shuriken: Activé(e)
    PUP: Activé(e)
    PUM: Activé(e)

    Processus: 0
    (No malicious items detected)

    Modules: 0
    (No malicious items detected)

    Clés du Registre: 0
    (No malicious items detected)

    Valeurs du Registre: 0
    (No malicious items detected)

    Données du Registre: 0
    (No malicious items detected)

    Dossiers: 0
    (No malicious items detected)

    Fichiers: 0
    (No malicious items detected)

    Secteurs physiques: 0
    (No malicious items detected)

    (end)

    ça à l'air de bien tourner maintenant.....
    est ce tout ??
    En tout cas grands merci !
    0
  18. rockwool Messages postés 41 Statut Membre
     
    Malwarebytes Anti-Malware
    www.malwarebytes.org

    Date de l'examen: 23/10/2014
    Heure de l'examen: 00:34:00
    Fichier journal:
    Administrateur: Oui

    Version: 2.00.3.1025
    Base de données Malveillants: v2014.10.22.10
    Base de données Rootkits: v2014.10.22.01
    Licence: Gratuit
    Protection contre les malveillants: Désactivé(e)
    Protection contre les sites Web malveillants: Désactivé(e)
    Chameleon: Désactivé(e)

    Système d'exploitation: Windows 7 Service Pack 1
    Processeur: x86
    Système de fichiers: NTFS
    Utilisateur: Acer

    Type d'examen: Examen "Menaces"
    Résultat: Terminé
    Objets analysés: 371310
    Temps écoulé: 31 min, 12 sec

    Mémoire: Activé(e)
    Démarrage: Activé(e)
    Système de fichiers: Activé(e)
    Archives: Activé(e)
    Rootkits: Activé(e)
    Shuriken: Activé(e)
    PUP: Activé(e)
    PUM: Activé(e)

    Processus: 0
    (No malicious items detected)

    Modules: 0
    (No malicious items detected)

    Clés du Registre: 0
    (No malicious items detected)

    Valeurs du Registre: 0
    (No malicious items detected)

    Données du Registre: 0
    (No malicious items detected)

    Dossiers: 6
    Trojan.Siredef.C, C:\$RECYCLE.BIN\S-1-5-18\$f53b56f594622db6220f9a6af7d89c1f\U, Mis en quarantaine, [5d6474a36418e45254a2c43c6997d32d],
    Trojan.Siredef.C, C:\$RECYCLE.BIN\S-1-5-21-1478629230-2715412510-1536352069-1000\$f53b56f594622db6220f9a6af7d89c1f\U, Mis en quarantaine, [a0217b9ccbb1e94d25d111ef946cc33d],
    Trojan.Siredef.C, C:\$RECYCLE.BIN\S-1-5-18\$f53b56f594622db6220f9a6af7d89c1f\L, Mis en quarantaine, [90317e997ffdde58bd3bcc3408f8926e],
    Trojan.Siredef.C, C:\$RECYCLE.BIN\S-1-5-21-1478629230-2715412510-1536352069-1000\$f53b56f594622db6220f9a6af7d89c1f\L, Mis en quarantaine, [d4ed5bbc3f3d082eb840c43c3ac6b44c],
    Trojan.Siredef.C, C:\$RECYCLE.BIN\S-1-5-18\$f53b56f594622db6220f9a6af7d89c1f, Mis en quarantaine, [952c6baca4d8cc6a7485b947fb0514ec],
    Trojan.Siredef.C, C:\$RECYCLE.BIN\S-1-5-21-1478629230-2715412510-1536352069-1000\$f53b56f594622db6220f9a6af7d89c1f, Mis en quarantaine, [427fac6b28540b2ba9507b854db3df21],

    Fichiers: 0
    (No malicious items detected)

    Secteurs physiques: 0
    (No malicious items detected)

    (end)
    0
  19. rockwool Messages postés 41 Statut Membre
     
    bonjour;
    j'ai tenté de redémmarer ce mtin
    on dirait que rien ne fonctionne
    très long, les icone bureau se sont révélés un par un avec qq secondes d'intervalle !!!
    enfin, j'ai l'impression qu'on n'est pas encore au bout...
    C'est assez frustrant de pas savoir ce qu'il y a !! virus ou autre....
    lorsque j'ai fait redémmarrage, la réponse est :
    forcer le démarrage ?? l'hote de taches exécute des taches d'arret qui sont déjà en cours d'exécution.....

    merci encore
    0
  • 1
  • 2
  • 3