N10.adshostnet.com et proxys qui ne s'enlèvent pas
Résolu
greggig
Messages postés
36
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
C'est vraiment un truc immonde que ce n10.adshotsnet.
J'utilise Explorer. Chaque fois que je consulte une nouvelle page Web, c'est une pub générée par le n10.adshotsnet qui apparaît. Faut enlever la pub puis cliquer ne nouveau sur la page désirée pour pouvoir la consulter.
J'ai donc tenté d'enlever le truc en suivant votre procédure de désinfection des adwares.
Première constatation, impossible d'enlever le Serveur proxy. Quand je décoche Serveur proxy, il semble que le serveur proxy redevient coché automatiquement dès que j'ai cliqué sur OK (du moins c'est ce que je constate quand je clique de nouveau sur Paramètres réseau).
Je suis arrivé à télécharger AdwCleaner, ce qui a donné les résultats suivants:
https://pjjoint.malekal.com/files.php?id=20141027_z13j5y6i115
J'ai refait un nouveau scan AdwCleaner : https://pjjoint.malekal.com/files.php?id=20141027_c15h6b9k9f11
J'ai fait un scan avec Malwarebytes
J'ai réinitialisé les navigateurs.
J'ai fait un scan OTL: https://pjjoint.malekal.com/files.php?id=OTL_20141027_n12t13s14m11t6
Les fenêtres intempestives apparaissent toujours.
Merci à l'avance pour votre aide.
C'est vraiment un truc immonde que ce n10.adshotsnet.
J'utilise Explorer. Chaque fois que je consulte une nouvelle page Web, c'est une pub générée par le n10.adshotsnet qui apparaît. Faut enlever la pub puis cliquer ne nouveau sur la page désirée pour pouvoir la consulter.
J'ai donc tenté d'enlever le truc en suivant votre procédure de désinfection des adwares.
Première constatation, impossible d'enlever le Serveur proxy. Quand je décoche Serveur proxy, il semble que le serveur proxy redevient coché automatiquement dès que j'ai cliqué sur OK (du moins c'est ce que je constate quand je clique de nouveau sur Paramètres réseau).
Je suis arrivé à télécharger AdwCleaner, ce qui a donné les résultats suivants:
https://pjjoint.malekal.com/files.php?id=20141027_z13j5y6i115
J'ai refait un nouveau scan AdwCleaner : https://pjjoint.malekal.com/files.php?id=20141027_c15h6b9k9f11
J'ai fait un scan avec Malwarebytes
J'ai réinitialisé les navigateurs.
J'ai fait un scan OTL: https://pjjoint.malekal.com/files.php?id=OTL_20141027_n12t13s14m11t6
Les fenêtres intempestives apparaissent toujours.
Merci à l'avance pour votre aide.
A voir également:
- N10.adshostnet.com et proxys qui ne s'enlèvent pas
- Proxys anonyme gratuit - Télécharger - Confidentialité
- Le proxy http est utilisé par le navigateur mais ne peut pas l'être par les autres applications - Forum Réseaux sociaux
- Problème proxy http - Forum iPhone
- Le serveur proxy configuré ne répond pas ✓ - Forum Réseau
- Serveur proxy ne répond pas ✓ - Forum WiFi
66 réponses
Voici le rapport, puis en prenant le chemin pour te répondre, aucune fenêtre intempestive n'est apparue.
ComboFix 14-10-29.01 - Utilisateur 2014-10-30 13:57:45.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.1.1036.18.6019.4546 [GMT -4:00]
Lancé depuis: c:\users\Utilisateur\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {641105E6-77ED-3F35-A304-765193BCB75F}
SP: Microsoft Security Essentials *Disabled/Updated* {DF70E402-51D7-30BB-99B4-4D23E83BFDE2}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\SysWow64\DEBUG.log
c:\windows\tmp
c:\windows\tmp\dd_vcredistMSI3D15.txt
c:\windows\tmp\dd_vcredistMSI7B93.txt
c:\windows\tmp\dd_vcredistUI3D15.txt
c:\windows\tmp\dd_vcredistUI7B93.txt
c:\windows\tmp\fonts\fontdb
c:\windows\tmp\qtsingleapp-koboex-7d5-1-lockfile
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2014-09-28 au 2014-10-30 ))))))))))))))))))))))))))))))))))))
.
.
2014-10-30 18:02 . 2014-10-30 18:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-10-29 17:18 . 2014-10-14 19:59 11627712 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{C070E98A-42B8-4F06-885E-862F2ED690A7}\mpengine.dll
2014-10-28 17:12 . 2014-10-14 19:59 11627712 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2014-10-27 03:01 . 2014-10-27 03:01 512 ----a-w- C:\PhysicalMBR.bin
2014-10-27 02:03 . 2014-10-27 02:03 -------- d-----w- c:\users\Utilisateur\AppData\Local\CheckCode
2014-10-27 00:10 . 2014-10-30 00:01 129752 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-10-27 00:09 . 2014-10-27 00:09 -------- d-----w- c:\program files (x86)\Malwarebytes Anti-Malware
2014-10-27 00:09 . 2014-10-27 00:09 -------- d-----w- c:\programdata\Malwarebytes
2014-10-27 00:09 . 2014-10-01 15:11 63704 ----a-w- c:\windows\system32\drivers\mwac.sys
2014-10-27 00:09 . 2014-10-01 15:11 93400 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2014-10-27 00:09 . 2014-10-01 15:11 25816 ----a-w- c:\windows\system32\drivers\mbam.sys
2014-10-26 23:35 . 2014-10-27 01:58 -------- d-----w- C:\AdwCleaner
2014-10-26 13:01 . 2014-10-30 13:28 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2014-10-26 12:58 . 2014-10-30 13:26 -------- d-----w- c:\users\Utilisateur\AppData\Roaming\ZHP
2014-10-26 12:58 . 2014-10-28 11:57 -------- d-----w- c:\program files (x86)\ZHPDiag
2014-10-15 15:30 . 2014-10-15 15:30 -------- d-----w- c:\windows\SysWow64\DatabaseDockFinder
2014-10-15 15:30 . 2014-10-18 12:17 -------- d-----w- c:\users\Utilisateur\AppData\Local\FunctionGammaRaw
2014-10-15 09:51 . 2014-08-19 03:08 63488 ----a-w- c:\windows\system32\setbcdlocale.dll
2014-10-15 09:50 . 2014-09-18 02:00 3241472 ----a-w- c:\windows\system32\msi.dll
2014-10-15 09:50 . 2014-09-18 01:32 2363904 ----a-w- c:\windows\SysWow64\msi.dll
2014-10-15 09:50 . 2014-09-04 05:23 424448 ----a-w- c:\windows\system32\rastls.dll
2014-10-15 09:50 . 2014-09-04 05:04 372736 ----a-w- c:\windows\SysWow64\rastls.dll
2014-10-01 15:09 . 2014-09-16 15:30 1188440 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{3AA90D5A-8B16-46EA-8A97-6CD2D2734D73}\gapaengine.dll
2014-10-01 13:12 . 2014-09-25 02:08 371712 ----a-w- c:\windows\system32\qdvd.dll
2014-10-01 13:12 . 2014-09-25 01:40 519680 ----a-w- c:\windows\SysWow64\qdvd.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-10-16 12:28 . 2014-03-06 01:02 71344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2014-10-16 12:28 . 2014-03-06 01:02 701104 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2014-10-16 12:01 . 2014-03-02 19:43 103265616 ----a-w- c:\windows\system32\MRT.exe
2014-09-22 06:42 . 2010-11-21 03:27 278152 ------w- c:\windows\system32\MpSigStub.exe
2014-09-16 15:30 . 2014-05-14 11:44 1188440 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2014-09-09 22:11 . 2014-09-23 17:21 2048 ----a-w- c:\windows\system32\tzres.dll
2014-09-09 21:47 . 2014-09-23 17:21 2048 ----a-w- c:\windows\SysWow64\tzres.dll
2014-08-23 02:07 . 2014-08-28 12:40 404480 ----a-w- c:\windows\system32\gdi32.dll
2014-08-23 01:45 . 2014-08-28 12:40 311808 ----a-w- c:\windows\SysWow64\gdi32.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 131248 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 131248 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 131248 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 131248 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSystemDetect"="c:\users\Utilisateur\AppData\Local\Apps\2.0\C7BOT9MG.W16\OXVP1XL5.V5L\dell..tion_0f612f649c4a10af_0005.0005_9914611622934cec\DellSystemDetect.exe" [2014-03-02 253952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2013-02-23 292088]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-08-21 959176]
"RemoteControl10"="c:\program files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe" [2010-02-03 87336]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared files\brs.exe" [2010-03-13 75048]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys;c:\windows\SYSNATIVE\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [x]
R3 RTL8168;Realtek 8168 NT Driver;c:\windows\system32\DRIVERS\Rt630x64.sys;c:\windows\SYSNATIVE\DRIVERS\Rt630x64.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
S0 iusb3hcs;Pilote de commutateur de contrôleur d'hôte Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hcs.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hcs.sys [x]
S2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC};Power Control [2014/03/02 14:33];c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\000.fcl;c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\000.fcl [x]
S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe [x]
S2 DatabaseDockFinder;DatabaseDockFinder;c:\windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe;c:\windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe [x]
S2 FunctionGammaRaw.exe;FunctionGammaRaw.exe;c:\users\Utilisateur\AppData\Local\FunctionGammaRaw\FunctionGammaRaw.exe;c:\users\Utilisateur\AppData\Local\FunctionGammaRaw\FunctionGammaRaw.exe [x]
S2 ZAtheros Wlan Agent;ZAtheros Wlan Agent;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe [x]
S3 AthBTPort;Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_flt.sys [x]
S3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys;c:\windows\SYSNATIVE\drivers\btath_a2dp.sys [x]
S3 btath_avdt;Atheros Bluetooth AVDT Service;c:\windows\system32\drivers\btath_avdt.sys;c:\windows\SYSNATIVE\drivers\btath_avdt.sys [x]
S3 BTATH_BUS;Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys;c:\windows\SYSNATIVE\DRIVERS\btath_bus.sys [x]
S3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_hcrp.sys [x]
S3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_lwflt.sys [x]
S3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_rcp.sys [x]
S3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys;c:\windows\SYSNATIVE\DRIVERS\btfilter.sys [x]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys;c:\windows\SYSNATIVE\DRIVERS\IntcDAud.sys [x]
S3 iusb3hub;Pilote de concentrateur Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hub.sys [x]
S3 iusb3xhc;Pilote du contrôleur d'hôte extensible Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3xhc.sys [x]
S3 RSUSBVSTOR;RtsUVStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUVStor.sys;c:\windows\SYSNATIVE\Drivers\RtsUVStor.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-10-29 18:03 1089352 ----a-w- c:\program files (x86)\Google\Chrome\Application\38.0.2125.111\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2014-10-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-03-06 12:28]
.
2014-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-03-02 17:34]
.
2014-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-03-02 17:34]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 164016 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 164016 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 164016 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 164016 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtherosBtStack"="c:\program files (x86)\Dell Wireless\Bluetooth Suite\btvstack.exe" [2013-02-06 1023104]
"AthBtTray"="c:\program files (x86)\Dell Wireless\Bluetooth Suite\athbttray.exe" [2013-02-06 801920]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-10-15 171040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-10-15 399392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2012-10-15 441888]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2014-03-11 1271072]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>;*origin.com;*ea.com;*akamaihd.net
uInternet Settings,ProxyServer = http=127.0.0.1:25504
Trusted Zone: dell.com
TCP: DhcpNameServer = 192.168.0.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
Toolbar-Locked - (no file)
ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file)
AddRemove-{DEC235ED-58A4-4517-A278-C41E8DAEAB3B} - c:\program files (x86)\InstallShield Installation Information\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}\Setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]
"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_15_0_0_189_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_15_0_0_189_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_15_0_0_189_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_15_0_0_189_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_189.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.15"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_189.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_189.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_189.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2014-10-30 14:04:21
ComboFix-quarantined-files.txt 2014-10-30 18:04
.
Avant-CF: 451 060 379 648 octets libres
Après-CF: 451 416 403 968 octets libres
.
- - End Of File - - B68AD00357563E449960566C29481889
A36C5E4F47E84449FF07ED3517B43A31
ComboFix 14-10-29.01 - Utilisateur 2014-10-30 13:57:45.1.4 - x64
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.1.1036.18.6019.4546 [GMT -4:00]
Lancé depuis: c:\users\Utilisateur\Desktop\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {641105E6-77ED-3F35-A304-765193BCB75F}
SP: Microsoft Security Essentials *Disabled/Updated* {DF70E402-51D7-30BB-99B4-4D23E83BFDE2}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\SysWow64\DEBUG.log
c:\windows\tmp
c:\windows\tmp\dd_vcredistMSI3D15.txt
c:\windows\tmp\dd_vcredistMSI7B93.txt
c:\windows\tmp\dd_vcredistUI3D15.txt
c:\windows\tmp\dd_vcredistUI7B93.txt
c:\windows\tmp\fonts\fontdb
c:\windows\tmp\qtsingleapp-koboex-7d5-1-lockfile
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2014-09-28 au 2014-10-30 ))))))))))))))))))))))))))))))))))))
.
.
2014-10-30 18:02 . 2014-10-30 18:02 -------- d-----w- c:\users\Default\AppData\Local\temp
2014-10-29 17:18 . 2014-10-14 19:59 11627712 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{C070E98A-42B8-4F06-885E-862F2ED690A7}\mpengine.dll
2014-10-28 17:12 . 2014-10-14 19:59 11627712 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2014-10-27 03:01 . 2014-10-27 03:01 512 ----a-w- C:\PhysicalMBR.bin
2014-10-27 02:03 . 2014-10-27 02:03 -------- d-----w- c:\users\Utilisateur\AppData\Local\CheckCode
2014-10-27 00:10 . 2014-10-30 00:01 129752 ----a-w- c:\windows\system32\drivers\MBAMSwissArmy.sys
2014-10-27 00:09 . 2014-10-27 00:09 -------- d-----w- c:\program files (x86)\Malwarebytes Anti-Malware
2014-10-27 00:09 . 2014-10-27 00:09 -------- d-----w- c:\programdata\Malwarebytes
2014-10-27 00:09 . 2014-10-01 15:11 63704 ----a-w- c:\windows\system32\drivers\mwac.sys
2014-10-27 00:09 . 2014-10-01 15:11 93400 ----a-w- c:\windows\system32\drivers\mbamchameleon.sys
2014-10-27 00:09 . 2014-10-01 15:11 25816 ----a-w- c:\windows\system32\drivers\mbam.sys
2014-10-26 23:35 . 2014-10-27 01:58 -------- d-----w- C:\AdwCleaner
2014-10-26 13:01 . 2014-10-30 13:28 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2014-10-26 12:58 . 2014-10-30 13:26 -------- d-----w- c:\users\Utilisateur\AppData\Roaming\ZHP
2014-10-26 12:58 . 2014-10-28 11:57 -------- d-----w- c:\program files (x86)\ZHPDiag
2014-10-15 15:30 . 2014-10-15 15:30 -------- d-----w- c:\windows\SysWow64\DatabaseDockFinder
2014-10-15 15:30 . 2014-10-18 12:17 -------- d-----w- c:\users\Utilisateur\AppData\Local\FunctionGammaRaw
2014-10-15 09:51 . 2014-08-19 03:08 63488 ----a-w- c:\windows\system32\setbcdlocale.dll
2014-10-15 09:50 . 2014-09-18 02:00 3241472 ----a-w- c:\windows\system32\msi.dll
2014-10-15 09:50 . 2014-09-18 01:32 2363904 ----a-w- c:\windows\SysWow64\msi.dll
2014-10-15 09:50 . 2014-09-04 05:23 424448 ----a-w- c:\windows\system32\rastls.dll
2014-10-15 09:50 . 2014-09-04 05:04 372736 ----a-w- c:\windows\SysWow64\rastls.dll
2014-10-01 15:09 . 2014-09-16 15:30 1188440 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{3AA90D5A-8B16-46EA-8A97-6CD2D2734D73}\gapaengine.dll
2014-10-01 13:12 . 2014-09-25 02:08 371712 ----a-w- c:\windows\system32\qdvd.dll
2014-10-01 13:12 . 2014-09-25 01:40 519680 ----a-w- c:\windows\SysWow64\qdvd.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-10-16 12:28 . 2014-03-06 01:02 71344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2014-10-16 12:28 . 2014-03-06 01:02 701104 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
2014-10-16 12:01 . 2014-03-02 19:43 103265616 ----a-w- c:\windows\system32\MRT.exe
2014-09-22 06:42 . 2010-11-21 03:27 278152 ------w- c:\windows\system32\MpSigStub.exe
2014-09-16 15:30 . 2014-05-14 11:44 1188440 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\NISBackup\gapaengine.dll
2014-09-09 22:11 . 2014-09-23 17:21 2048 ----a-w- c:\windows\system32\tzres.dll
2014-09-09 21:47 . 2014-09-23 17:21 2048 ----a-w- c:\windows\SysWow64\tzres.dll
2014-08-23 02:07 . 2014-08-28 12:40 404480 ----a-w- c:\windows\system32\gdi32.dll
2014-08-23 01:45 . 2014-08-28 12:40 311808 ----a-w- c:\windows\SysWow64\gdi32.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 131248 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 131248 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 131248 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 131248 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt.22.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DellSystemDetect"="c:\users\Utilisateur\AppData\Local\Apps\2.0\C7BOT9MG.W16\OXVP1XL5.V5L\dell..tion_0f612f649c4a10af_0005.0005_9914611622934cec\DellSystemDetect.exe" [2014-03-02 253952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"USB3MON"="c:\program files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2013-02-23 292088]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2014-08-21 959176]
"RemoteControl10"="c:\program files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe" [2010-02-03 87336]
"BDRegion"="c:\program files (x86)\Cyberlink\Shared files\brs.exe" [2010-03-13 75048]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys;c:\windows\SYSNATIVE\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Inspection du réseau Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [x]
R3 RTL8168;Realtek 8168 NT Driver;c:\windows\system32\DRIVERS\Rt630x64.sys;c:\windows\SYSNATIVE\DRIVERS\Rt630x64.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
S0 iusb3hcs;Pilote de commutateur de contrôleur d'hôte Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hcs.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hcs.sys [x]
S2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC};Power Control [2014/03/02 14:33];c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\000.fcl;c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\000.fcl [x]
S2 AtherosSvc;AtherosSvc;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe;c:\program files (x86)\Dell Wireless\Bluetooth Suite\adminservice.exe [x]
S2 DatabaseDockFinder;DatabaseDockFinder;c:\windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe;c:\windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe [x]
S2 FunctionGammaRaw.exe;FunctionGammaRaw.exe;c:\users\Utilisateur\AppData\Local\FunctionGammaRaw\FunctionGammaRaw.exe;c:\users\Utilisateur\AppData\Local\FunctionGammaRaw\FunctionGammaRaw.exe [x]
S2 ZAtheros Wlan Agent;ZAtheros Wlan Agent;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe;c:\program files (x86)\Dell Wireless\Ath_WlanAgent.exe [x]
S3 AthBTPort;Atheros Virtual Bluetooth Class;c:\windows\system32\DRIVERS\btath_flt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_flt.sys [x]
S3 BTATH_A2DP;Bluetooth A2DP Audio Driver;c:\windows\system32\drivers\btath_a2dp.sys;c:\windows\SYSNATIVE\drivers\btath_a2dp.sys [x]
S3 btath_avdt;Atheros Bluetooth AVDT Service;c:\windows\system32\drivers\btath_avdt.sys;c:\windows\SYSNATIVE\drivers\btath_avdt.sys [x]
S3 BTATH_BUS;Atheros Bluetooth Bus;c:\windows\system32\DRIVERS\btath_bus.sys;c:\windows\SYSNATIVE\DRIVERS\btath_bus.sys [x]
S3 BTATH_HCRP;Bluetooth HCRP Server driver;c:\windows\system32\DRIVERS\btath_hcrp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_hcrp.sys [x]
S3 BTATH_LWFLT;Bluetooth LWFLT Device;c:\windows\system32\DRIVERS\btath_lwflt.sys;c:\windows\SYSNATIVE\DRIVERS\btath_lwflt.sys [x]
S3 BTATH_RCP;Bluetooth AVRCP Device;c:\windows\system32\DRIVERS\btath_rcp.sys;c:\windows\SYSNATIVE\DRIVERS\btath_rcp.sys [x]
S3 BtFilter;BtFilter;c:\windows\system32\DRIVERS\btfilter.sys;c:\windows\SYSNATIVE\DRIVERS\btfilter.sys [x]
S3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRIVERS\IntcDAud.sys;c:\windows\SYSNATIVE\DRIVERS\IntcDAud.sys [x]
S3 iusb3hub;Pilote de concentrateur Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hub.sys [x]
S3 iusb3xhc;Pilote du contrôleur d'hôte extensible Intel(R) USB 3.0;c:\windows\system32\DRIVERS\iusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3xhc.sys [x]
S3 RSUSBVSTOR;RtsUVStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUVStor.sys;c:\windows\SYSNATIVE\Drivers\RtsUVStor.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2014-10-29 18:03 1089352 ----a-w- c:\program files (x86)\Google\Chrome\Application\38.0.2125.111\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2014-10-30 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2014-03-06 12:28]
.
2014-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-03-02 17:34]
.
2014-10-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2014-03-02 17:34]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 164016 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 164016 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 164016 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-09-11 02:09 164016 ----a-w- c:\users\Utilisateur\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtherosBtStack"="c:\program files (x86)\Dell Wireless\Bluetooth Suite\btvstack.exe" [2013-02-06 1023104]
"AthBtTray"="c:\program files (x86)\Dell Wireless\Bluetooth Suite\athbttray.exe" [2013-02-06 801920]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2012-10-15 171040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2012-10-15 399392]
"Persistence"="c:\windows\system32\igfxpers.exe" [2012-10-15 441888]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2014-03-11 1271072]
.
------- Examen supplémentaire -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = <local>;*origin.com;*ea.com;*akamaihd.net
uInternet Settings,ProxyServer = http=127.0.0.1:25504
Trusted Zone: dell.com
TCP: DhcpNameServer = 192.168.0.1
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-Locked - (no file)
HKLM_Wow6432Node-ActiveSetup-{2D46B6DC-2207-486B-B523-A557E6D54B47} - start
Toolbar-Locked - (no file)
ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - (no file)
AddRemove-{DEC235ED-58A4-4517-A278-C41E8DAEAB3B} - c:\program files (x86)\InstallShield Installation Information\{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}\Setup.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]
"ImagePath"="\??\c:\program files (x86)\CyberLink\PowerDVD10\NavFilter\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_15_0_0_189_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_15_0_0_189_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_15_0_0_189_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_15_0_0_189_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_189.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.15"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_189.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_189.ocx"
"ThreadingModel"="Apartment"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_15_0_0_189.ocx, 1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2014-10-30 14:04:21
ComboFix-quarantined-files.txt 2014-10-30 18:04
.
Avant-CF: 451 060 379 648 octets libres
Après-CF: 451 416 403 968 octets libres
.
- - End Of File - - B68AD00357563E449960566C29481889
A36C5E4F47E84449FF07ED3517B43A31
super,
redémarre le pc et remts moi un nouveau rapport de Zhpdiag pour voir si le proxy a été viré !
redémarre le pc et remts moi un nouveau rapport de Zhpdiag pour voir si le proxy a été viré !
La saloperie est revenue après avoir redémarré l'ordi.
Le dernier rapport: https://www.cjoint.com/?DJEuNmsjy9q
Je vais tenter une restauration du système à une date antérieure.
Le dernier rapport: https://www.cjoint.com/?DJEuNmsjy9q
Je vais tenter une restauration du système à une date antérieure.
si tu trouves un programme nommé akamai hd, tu le désinstalles,
c'est lui le responsable de tout ça !
c'est lui le responsable de tout ça !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai refait un scan avec Robofix. Les fenêtres n'apparaissent pas, mais aussitôt que je redémarre le système, ça recommence.
J'ai passé en revue l'authenticité de tous les processus dans le gestionnaire des tâches, à l'aide de l'onglet "propriétés", ce qui m'a permis de découvrir trois suspects en place depuis le 13 octobre 2014.
CompilerCopyDefault
DatabaseDockFinder
FunctionGammaRaw.exe
Quand je tente de désactiver les processus, ils reviennent en place aussitôt. Puis quand je tente d'effacer tout fichier sur lequel leurs noms apparaissent, j'ai un message disant que je ne peux supprimer certains d'entre eux:
Exemples
FunctionGammaRaw
C:\Utilisateurs\Utilisateur\AppData|Local
Raison indiquée: Cette action ne peut jêtre réalisée car le dossier ou l'un des fichiers est ouvert dans un autre programme. Fermez le dossier ou le fichier et réessayez.
Quand j'essaie de supprimer l'application, ce message. Cette action ne peut pas être réalisée car le fichier est ouvert dans la FunctionGammaRaw.exe
Tous les autres fichiers avec ce nom que j'ai réussi à supprimer reviennent dès que j'ai rebooté.
C'est comme si le truc s'était logé à un endroit qui l'actionne dès qu'on part le système d'exploitation.
J'ai passé en revue l'authenticité de tous les processus dans le gestionnaire des tâches, à l'aide de l'onglet "propriétés", ce qui m'a permis de découvrir trois suspects en place depuis le 13 octobre 2014.
CompilerCopyDefault
DatabaseDockFinder
FunctionGammaRaw.exe
Quand je tente de désactiver les processus, ils reviennent en place aussitôt. Puis quand je tente d'effacer tout fichier sur lequel leurs noms apparaissent, j'ai un message disant que je ne peux supprimer certains d'entre eux:
Exemples
FunctionGammaRaw
C:\Utilisateurs\Utilisateur\AppData|Local
Raison indiquée: Cette action ne peut jêtre réalisée car le dossier ou l'un des fichiers est ouvert dans un autre programme. Fermez le dossier ou le fichier et réessayez.
Quand j'essaie de supprimer l'application, ce message. Cette action ne peut pas être réalisée car le fichier est ouvert dans la FunctionGammaRaw.exe
Tous les autres fichiers avec ce nom que j'ai réussi à supprimer reviennent dès que j'ai rebooté.
C'est comme si le truc s'était logé à un endroit qui l'actionne dès qu'on part le système d'exploitation.
ok,
on va essayer de les virer avec un outil :
ouvre internet explorer,
vas dans outils, option internet, connexion, puis paramètres réseau !
décoche la case de Proxy !
vérifie bien que la case de détection automatique des paramètres réseau soit cochée et rien d'autre !
* /!\AVERTISSEMENT :
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://general-changelog-team.fr/fr/outils/67-otm
* Double-clique sur OTMoveIt.exe pour le lancer.
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »
* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
:processes
explorer.exe
FunctionGammaRaw.exe
:services
FunctionGammaRaw.exe
:reg
[-HKLM\Software\Upt]
[-HKLM\Software\Wow6432Node\Upt]
[-HKLM\Software\Wow6432Node\SI-App]
:files
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
# clique sur MoveIt! pour lancer la suppression.
# Le résultat apparaitra dans le cadre "Results".
# Clique sur Exit pour fermer.
# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
on va essayer de les virer avec un outil :
ouvre internet explorer,
vas dans outils, option internet, connexion, puis paramètres réseau !
décoche la case de Proxy !
vérifie bien que la case de détection automatique des paramètres réseau soit cochée et rien d'autre !
* /!\AVERTISSEMENT :
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau
http://general-changelog-team.fr/fr/outils/67-otm
* Double-clique sur OTMoveIt.exe pour le lancer.
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »
* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.
:processes
explorer.exe
FunctionGammaRaw.exe
:services
FunctionGammaRaw.exe
:reg
[-HKLM\Software\Upt]
[-HKLM\Software\Wow6432Node\Upt]
[-HKLM\Software\Wow6432Node\SI-App]
:files
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw
:Commands
[emptytemp]
[purity]
[start explorer]
[Reboot]
# clique sur MoveIt! pour lancer la suppression.
# Le résultat apparaitra dans le cadre "Results".
# Clique sur Exit pour fermer.
# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
Il est là le problème.
J'ai beau cocher la détection automatique des paramètres de connexion et de décocher les cases du serveur proxy, quand j'appuie sur ok et que je clique de nouveau sur Paramètres réseau, la détection automatique est décochée et les paramètres proxys sont cochés.
J'ai beau cocher la détection automatique des paramètres de connexion et de décocher les cases du serveur proxy, quand j'appuie sur ok et que je clique de nouveau sur Paramètres réseau, la détection automatique est décochée et les paramètres proxys sont cochés.
passe au script déjà, on verra pour le proxy !
je en sais pas ou tu as chopé ce truc, mais on va avoir du mal à s'en défaire !
je en sais pas ou tu as chopé ce truc, mais on va avoir du mal à s'en défaire !
https://www.cjoint.com/?DJFnhwY618y
Voilà pour le rapport.
Après le redémarrage, j'avais le message disant que le serveur proxy ne répondait plus. J'ai pu enfin décocher les proxys tout content. Mais dès que ma page de départ est réapparue, les pubs sont revenues et c'est de nouveau impossible de décocher les proxys. C'est comme si le truc se remettait en place dès qu'on fait un reboot.
Nouveauté: Quand je clique sur un nouvel onglet pour obtenir une nouvelle page Web, c'est une fausse page Bing qui apparaît.
Voilà pour le rapport.
Après le redémarrage, j'avais le message disant que le serveur proxy ne répondait plus. J'ai pu enfin décocher les proxys tout content. Mais dès que ma page de départ est réapparue, les pubs sont revenues et c'est de nouveau impossible de décocher les proxys. C'est comme si le truc se remettait en place dès qu'on fait un reboot.
Nouveauté: Quand je clique sur un nouvel onglet pour obtenir une nouvelle page Web, c'est une fausse page Bing qui apparaît.
humm !
étrange !
est ce que tu peux réessayer de m'envoyer ton rapport ?
ce n'est pas le bon fichier sur Cjoint !
étrange !
est ce que tu peux réessayer de m'envoyer ton rapport ?
ce n'est pas le bon fichier sur Cjoint !
Je le mets directement ici.
Le problème est toujours présent. C'est comme s'il y avait quelque chose qui fait qu'à chaque fois que je redémarre le système, les composantes du Malware sont recréées.
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process FunctionGammaRaw.exe killed successfully!
========== SERVICES/DRIVERS ==========
Service FunctionGammaRaw.exe stopped successfully!
Service FunctionGammaRaw.exe deleted successfully!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Upt\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Upt\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\SI-App\ deleted successfully.
========== FILES ==========
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\service\FunctionGammaRaw.exe-(PID-2040)-3361353 folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\service folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\desktop\CompilerCopyDefault.exe-(PID-3160)-3360573 folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\desktop\CompilerCopyDefault.exe-(PID-1868)-11940612 folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\desktop folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
User: Utilisateur
->Temp folder emptied: 19194 bytes
->Temporary Internet Files folder emptied: 308801384 bytes
->Flash cache emptied: 1986 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 19940 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36932 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 295,00 mb
OTM by OldTimer - Version 3.1.21.0 log created on 10312014_075400
Files moved on Reboot...
C:\Users\Utilisateur\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
Registry entries deleted on Reboot...
Le problème est toujours présent. C'est comme s'il y avait quelque chose qui fait qu'à chaque fois que je redémarre le système, les composantes du Malware sont recréées.
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process FunctionGammaRaw.exe killed successfully!
========== SERVICES/DRIVERS ==========
Service FunctionGammaRaw.exe stopped successfully!
Service FunctionGammaRaw.exe deleted successfully!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Upt\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Upt\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\SI-App\ deleted successfully.
========== FILES ==========
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\service\FunctionGammaRaw.exe-(PID-2040)-3361353 folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\service folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\desktop\CompilerCopyDefault.exe-(PID-3160)-3360573 folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\desktop\CompilerCopyDefault.exe-(PID-1868)-11940612 folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw\desktop folder moved successfully.
C:\Users\Utilisateur\AppData\Local\FunctionGammaRaw folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
User: Utilisateur
->Temp folder emptied: 19194 bytes
->Temporary Internet Files folder emptied: 308801384 bytes
->Flash cache emptied: 1986 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 19940 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36932 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50668 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 295,00 mb
OTM by OldTimer - Version 3.1.21.0 log created on 10312014_075400
Files moved on Reboot...
C:\Users\Utilisateur\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
Registry entries deleted on Reboot...
Voici le rapport: https://www.cjoint.com/?DJFvpmKkWes
En passant, j'ai refait un scan sur moveit et le rapport disait que le FunctionGammaRaw n'était plus présent.
Mais ça ne change rien à la présence de cette peste collé à l'ordi. C'est en fait le laptop de ma copine, qui l'utilise pratiquement seulement pour son travail et qui navigue 100 fois moins que moi sur Internet. C'est pour dire...
En passant, j'ai refait un scan sur moveit et le rapport disait que le FunctionGammaRaw n'était plus présent.
Mais ça ne change rien à la présence de cette peste collé à l'ordi. C'est en fait le laptop de ma copine, qui l'utilise pratiquement seulement pour son travail et qui navigue 100 fois moins que moi sur Internet. C'est pour dire...
il y a des nouveaux programmes sur le rapport !
eDealPop
MotionRemote
ClipboardDesktopGamma
on va les virer !
* /!\ Avertissement /!\,
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !
* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue.
/!\Utilisateur de Vista, Seven et W8 :
* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »
Clique sur « importer »
Tu vas voir apparaitre un message d'avertissement, clique sur Ok.
* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
---------------------------------------------------------
Script Zhpfix
[MD5.0CD18A9B522AA5342B2DA479293541F1] - (...) -- C:\Program Files (x86)\eDealPop\eDealPop.exe [7168] [PID.3048]
[MD5.DB5F50612D3A928200927B9FE72F6E5E] - (...) -- C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MBRScrollingUtility.exe [366592] [PID.3464]
[MD5.84C299DB01EFBD675CEECFE10B148C9A] - (...) -- C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe [158720] [PID.2012]
[MD5.8793F40F334723B0DC967C43D0413FD9] - (...) -- C:\Windows\SysWOW64\ClipboardDesktopGamma\ClipboardDesktopGamma.exe [68096] [PID.1384]
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> ;*origin.com;*ea.com;*akamaihd.net
O4 - HKLM\..\Wow6432Node\Run: [eDealPop] . (...) -- C:\Program Files (x86)\eDealPop\eDealPop.exe
O23 - Service: ClipboardDesktopGamma (ClipboardDesktopGamma) . (...) - C:\Windows\SysWOW64\ClipboardDesktopGamma\ClipboardDesktopGamma.exe
O23 - Service: MotionRemoteWord.exe (MotionRemoteWord.exe) . (...) - C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe
O42 - Logiciel: eDealPop version 1.0 - (.eDealPop.) [HKLM][64Bits] -- eDealPop_is1
[HKLM\Software\Upt]
[HKLM\Software\Wow6432Node\Upt]
O43 - CFD: 2014-10-31 - 07:58:28 - [] ----D C:\Program Files (x86)\eDealPop
O43 - CFD: 2014-10-31 - 15:05:30 - [] ----D C:\Users\Utilisateur\AppData\Local\MotionRemoteWord
SR - | Auto 2014-10-13 68096 | (ClipboardDesktopGamma) . (...) - C:\Windows\SysWOW64\ClipboardDesktopGamma\ClipboardDesktopGamma.exe
SR - | Auto 2014-10-13 158720 | (MotionRemoteWord.exe) . (...) - C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:33466
[HKLM\Software\RST]
[HKLM\Software\SI-App]
[HKLM\Software\WinUpd]
[HKLM\Software\Wow6432Node\RST]
[HKLM\Software\Wow6432Node\SI-App]
[HKLM\Software\Wow6432Node\WinUpd]
C:\Users\Utilisateur\AppData\Local\PirritSuggestor
O2 - BHO: Google Toolbar Helper [64Bits] - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Google Toolbar - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM][64Bits] -- {18455581-E099-4BA8-BC6B-F34B2F06600C}
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM][64Bits] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}
[MD5.00000000000000000000000000000000] [APT] [{79DA57D4-9EC4-4E82-BF77-8E43B86748DF}] (...) -- E:\DW1703_DW1705_W8_A00_Setup-0WD12_ZPE.exe (.not file.) [0]
[MD5.8793F40F334723B0DC967C43D0413FD9] - (...) -- C:\Windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe [68096] [PID.1612]
O23 - Service: DatabaseDockFinder (DatabaseDockFinder) . (...) - C:\Windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe
SR - | Auto 2014-10-13 68096 | (DatabaseDockFinder) . (...) - C:\Windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe
Emptyflash
Proxyfix
EmptyPrefetch
ShortcutFix
Emptytemp
EmptyClsid
----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Héberge le rapport ZHPFIX.txt sur
https://www.cjoint.com/
puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Tuto en bas de cette page :
https://nicolascoolman.eu
eDealPop
MotionRemote
ClipboardDesktopGamma
on va les virer !
* /!\ Avertissement /!\,
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !
* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue.
/!\Utilisateur de Vista, Seven et W8 :
* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »
Clique sur « importer »
Tu vas voir apparaitre un message d'avertissement, clique sur Ok.
* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix :
---------------------------------------------------------
Script Zhpfix
[MD5.0CD18A9B522AA5342B2DA479293541F1] - (...) -- C:\Program Files (x86)\eDealPop\eDealPop.exe [7168] [PID.3048]
[MD5.DB5F50612D3A928200927B9FE72F6E5E] - (...) -- C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MBRScrollingUtility.exe [366592] [PID.3464]
[MD5.84C299DB01EFBD675CEECFE10B148C9A] - (...) -- C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe [158720] [PID.2012]
[MD5.8793F40F334723B0DC967C43D0413FD9] - (...) -- C:\Windows\SysWOW64\ClipboardDesktopGamma\ClipboardDesktopGamma.exe [68096] [PID.1384]
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> ;*origin.com;*ea.com;*akamaihd.net
O4 - HKLM\..\Wow6432Node\Run: [eDealPop] . (...) -- C:\Program Files (x86)\eDealPop\eDealPop.exe
O23 - Service: ClipboardDesktopGamma (ClipboardDesktopGamma) . (...) - C:\Windows\SysWOW64\ClipboardDesktopGamma\ClipboardDesktopGamma.exe
O23 - Service: MotionRemoteWord.exe (MotionRemoteWord.exe) . (...) - C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe
O42 - Logiciel: eDealPop version 1.0 - (.eDealPop.) [HKLM][64Bits] -- eDealPop_is1
[HKLM\Software\Upt]
[HKLM\Software\Wow6432Node\Upt]
O43 - CFD: 2014-10-31 - 07:58:28 - [] ----D C:\Program Files (x86)\eDealPop
O43 - CFD: 2014-10-31 - 15:05:30 - [] ----D C:\Users\Utilisateur\AppData\Local\MotionRemoteWord
SR - | Auto 2014-10-13 68096 | (ClipboardDesktopGamma) . (...) - C:\Windows\SysWOW64\ClipboardDesktopGamma\ClipboardDesktopGamma.exe
SR - | Auto 2014-10-13 158720 | (MotionRemoteWord.exe) . (...) - C:\Users\Utilisateur\AppData\Local\MotionRemoteWord\MotionRemoteWord.exe
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:33466
[HKLM\Software\RST]
[HKLM\Software\SI-App]
[HKLM\Software\WinUpd]
[HKLM\Software\Wow6432Node\RST]
[HKLM\Software\Wow6432Node\SI-App]
[HKLM\Software\Wow6432Node\WinUpd]
C:\Users\Utilisateur\AppData\Local\PirritSuggestor
O2 - BHO: Google Toolbar Helper [64Bits] - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Google Toolbar - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM][64Bits] -- {18455581-E099-4BA8-BC6B-F34B2F06600C}
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM][64Bits] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}
[MD5.00000000000000000000000000000000] [APT] [{79DA57D4-9EC4-4E82-BF77-8E43B86748DF}] (...) -- E:\DW1703_DW1705_W8_A00_Setup-0WD12_ZPE.exe (.not file.) [0]
[MD5.8793F40F334723B0DC967C43D0413FD9] - (...) -- C:\Windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe [68096] [PID.1612]
O23 - Service: DatabaseDockFinder (DatabaseDockFinder) . (...) - C:\Windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe
SR - | Auto 2014-10-13 68096 | (DatabaseDockFinder) . (...) - C:\Windows\SysWOW64\DatabaseDockFinder\DatabaseDockFinder.exe
Emptyflash
Proxyfix
EmptyPrefetch
ShortcutFix
Emptytemp
EmptyClsid
----------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Héberge le rapport ZHPFIX.txt sur
https://www.cjoint.com/
puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Tuto en bas de cette page :
https://nicolascoolman.eu
Le rapport: https://www.cjoint.com/?DKbb2ESc8TA
La saloperie est toujours présente. J'ai l'impression que c'est Alien à l'intérieur de l'ordi. Et ce qui me flanque la trouille en ce jour d'Halloween, c'est la fausse page Bing qui apparaît quand j'ouvre une nouvelle fenêtre sur Explorer, car les sites "fréquents" qu'elle propose sont ceux-là même où je vais le plus souvent.
Ça me dépasse. Quelle horreur. Merci d'ailleurs de t'acharner sur mon cas.
La saloperie est toujours présente. J'ai l'impression que c'est Alien à l'intérieur de l'ordi. Et ce qui me flanque la trouille en ce jour d'Halloween, c'est la fausse page Bing qui apparaît quand j'ouvre une nouvelle fenêtre sur Explorer, car les sites "fréquents" qu'elle propose sont ceux-là même où je vais le plus souvent.
Ça me dépasse. Quelle horreur. Merci d'ailleurs de t'acharner sur mon cas.
Les 3 trucs bizarres dans les processus sont disparus, remplacés par deux autres:
MBRScrollingUtility
MotionRemoteWord
Et c'est encore impossible de garder non cochés les proxys. La source du problème?
MBRScrollingUtility
MotionRemoteWord
Et c'est encore impossible de garder non cochés les proxys. La source du problème?
Oui.
MBRScrollingUtility.exe
Chemin: c:\Utilisateurs\Utilisateur\AppData\Local\MotionRemoteWord\desktop
Contenu: un fichier PF; un fichier DMP; une application (datée du 13 oct)
MotionRemoteWord.exe
Chemin: c:\Utilisateurs\Utilisateur\AppData\Local\MotionRemoteWord\desktop
contenu: application (datée du 13 oct)
Aussi:
AppHang_MotionRemoteWord suivi d'un paquet de chiffres
Chemin: c:\ProgramData\Microsoft\Windows\WER\ReportArchive
contenu: tous des dossiers de fichiers
MBRScrollingUtility.exe
Chemin: c:\Utilisateurs\Utilisateur\AppData\Local\MotionRemoteWord\desktop
Contenu: un fichier PF; un fichier DMP; une application (datée du 13 oct)
MotionRemoteWord.exe
Chemin: c:\Utilisateurs\Utilisateur\AppData\Local\MotionRemoteWord\desktop
contenu: application (datée du 13 oct)
Aussi:
AppHang_MotionRemoteWord suivi d'un paquet de chiffres
Chemin: c:\ProgramData\Microsoft\Windows\WER\ReportArchive
contenu: tous des dossiers de fichiers
ok,
on essaie un dernier outil !
* [*] Télécharger et enregistre RogueKiller (by tigzy) sur le bureau
Pour la version 32 bit, ici ?
http://www.adlice.com/softs/roguekiller/RogueKiller.exe
Pour la version 64 bit, ici ?
http://www.adlice.com/softs/roguekiller/RogueKillerX64.exe
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Utilisateur de W7 et W8, clique droit sur l'outil, puis le lancer en tant qu'administrateur.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan.
Attends la fin de scan
Clique sur le bouton rapport et copie et colle la totalité de son contenu sur ton prochain message
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
Son site officiel :
https://www.adlice.com/fr/roguekiller/
on essaie un dernier outil !
* [*] Télécharger et enregistre RogueKiller (by tigzy) sur le bureau
Pour la version 32 bit, ici ?
http://www.adlice.com/softs/roguekiller/RogueKiller.exe
Pour la version 64 bit, ici ?
http://www.adlice.com/softs/roguekiller/RogueKillerX64.exe
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Utilisateur de W7 et W8, clique droit sur l'outil, puis le lancer en tant qu'administrateur.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan.
Attends la fin de scan
Clique sur le bouton rapport et copie et colle la totalité de son contenu sur ton prochain message
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
Son site officiel :
https://www.adlice.com/fr/roguekiller/
Voici le rapport: https://www.cjoint.com/?DKbpUHUJ5oQ
Malheureusement, aucun changement. J'ai pas fait de redémarrage encore toutefois. Si je ne donne pas de nouvelles dans les 5 prochaines minutes, c'est que la saloperie est toujours présente.
Malheureusement, aucun changement. J'ai pas fait de redémarrage encore toutefois. Si je ne donne pas de nouvelles dans les 5 prochaines minutes, c'est que la saloperie est toujours présente.