darwed

C'est beaucoup mieux ! Merci bernard et Merci la Mayenne

Oui Bernard Le PC a l'air d'aller bien Juste c'est le navigateur qui a l'air de vraiment ramer Firefox a du mal a me donner les page oueb rapidement je vais lancer un antivirus detaillé cette nuit et je te poste le resultat demain en esperant qu'il ne detecte rien bien sur (c'est Microsoft essential security) A demain Darwed

Bah oui mais je fais quoi moi? si ZHP ne contient pas le module FIX dois je telecharger un ZHPfix ? Ah oui, tins, j'ai trouvé, il existe en tant que logiciel a part, je pensais que fix etait un composant de ZHP moi donc ok je fais ca Voila : Rapport de ZHPFix 1.3.01 par Nicolas Coolman, Update du 22/09/2012 Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-07-12-2012-17-36-27.txt Run by Darwed at 07/12/2012 17:36:26 Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601) Web site : http://nicolascoolman.skyrock.com/ ========== ========== ABSENT Software Key: {86D4B82A-ABED-442A-BE86-96357B70F4FE} ========== ========== ABSENTE Key: CLSID BHO: {D4027C7F-154A-4066-A1AD-4243D8127440} ABSENTE Key: HKCU\Software\AppDataLow\AskToolbarInfo ABSENTE Key: HKCU\Software\AppDataLow\Software\AskToolbar ABSENTE Key: HKCU\Software\Ask.com ABSENTE Key: HKCU\Software\Conduit ABSENTE Key: HKCU\Software\cacaoweb ABSENTE Key: HKLM\Software\Wow6432Node\Conduit ABSENTE Key: HKLM\Software\Wow6432Node\InstallPedia ERREUR Key****: StartupReg: IP Network ========== ========== ABSENTE Toolbar: {32099AAC-C132-4136-9E9A-4E364A424E17} ABSENTE IFC: [FEATURE_BROWSER_EMULATION] svchost.exe FirewallRaz : (FirewallRaz) ========== ========== ABSENTE Mozilla Pref: Ixquick Search Engine SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.illimitux_backup_port", 0); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.illimitux_backup_referer", 2); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.illimitux_backup_type", 0); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_firsttime_4.0_", false); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_mu_auto", ""); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_auto", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_box", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_captcha", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_divx", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_embed", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_proxy", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_pt_4s", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_pt_captcha", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_pt_mp", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_pt_mu", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_pt_mv", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_pt_rs", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_pt_rs1", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_pt_veoh", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_pt_zs", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_referer", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_rs", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_tab", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.ilx_pref_zapmu", true); SUPPRIME Mozilla Pref: user_pref("extensions.illimitux.locale", "fr"); ========== ========== SUPPRIME Folder: C:\Users\Darwed\AppData\Roaming\Mozilla\Firefox\Profiles\h7eexzv5.default\extensions\cacaoweb@cacaoweb.org SUPPRIME Folder: C:\Users\Darwed\AppData\Roaming\Mozilla\Firefox\Profiles\h7eexzv5.default\extensions\toolbar@ask.com SUPPRIME Folder: C:\Users\Darwed\AppData\Roaming\Mozilla\Firefox\Profiles\qpl26zgb.default\extensions\jid1-uabu5A9hduqzCw@jetpack ========== ========== SUPPRIME Reboot: c:\windows\tasks\googleupdatetaskmachinecore.job SUPPRIME Reboot: c:\windows\tasks\googleupdatetaskmachineua.job ABSENT Folder/File: c:\program files (x86)\ask.com\updatetask.exe (.not file. ABSENT Folder/File: c:\users\darwed\desktop\essai bonhomme setup.exe (.not file. ABSENT File: c:\program files (x86)\installpedia\lnetworker.exe ========== ========== Task: Scheduled Update for Ask Toolbar Task: {5FDA05C6-157F-4B3F-AA3C-BF6BC03A7A88} Task: {707DF1F2-B0CD-45C2-9A8D-25959B8412D3} Task: {757E5874-674E-496F-995F-A8A4C9F497A7} Task: {96C3B570-51DE-42E7-8ADF-63E2F95367DF} Task: {973CB02D-24BA-4E31-81D2-32DE539A93E2} Task: {FE98616C-43FA-4AAF-B553-F4C3F40BEE8C} ========== ========== 9 : 4 : 3 : 5 : 1 : 26 : 7 : End of clean in 00mn 14s ========== ========== C:\ZHP\ZHPFix[R1].txt - 07/12/2012 17:36:27 [4308]

salut bernard ZHP ne me propose pas ce que tu demandes c'est ZHP diag et je n'ai pas d'autres appli ZHP dans le dossier ZHP ni sur le bureau par ailleurs les infobulles de ZHP ne fonctionnent pas toutes donc difficile de savoir quel bouton actionner pour ADW voila : # AdwCleaner v2.011 - Rapport créé le 07/12/2012 à 04:05:32 # Mis à jour le 02/12/2012 par Xplode # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits) # Nom d'utilisateur : Darwed - DARWED-PC # Mode de démarrage : Normal # Exécuté depuis : C:\Users\Darwed\Downloads\Programs\adwcleaner.exe # Option [suppression] ***** [services] ***** ***** [Fichiers / Dossiers] ***** ***** [Registre] ***** ***** [Navigateurs] ***** -\\ Internet Explorer v9.0.8112.16450 [OK] Le registre ne contient aucune entrée illégitime. -\\ Mozilla Firefox v17.0.1 (fr) Nom du profil : default Fichier : C:\Users\Darwed\AppData\Roaming\Mozilla\Firefox\Profiles\qpl26zgb.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. ************************* AdwCleaner[R1].txt - [5767 octets] - [06/12/2012 01:00:58] AdwCleaner[R2].txt - [5827 octets] - [06/12/2012 01:01:54] AdwCleaner[R3].txt - [5887 octets] - [06/12/2012 01:14:42] AdwCleaner[s1].txt - [5693 octets] - [06/12/2012 03:02:32] AdwCleaner[s2].txt - [1053 octets] - [07/12/2012 04:05:32] ########## EOF - C:\AdwCleaner[s2].txt - [1113 octets] ##########

Merci bernard alors voila : TDSSkiller n'a pas detecté de menace voici le rapport ZHP © CJoint.com, 2012 et celui de ADW cleaner : # AdwCleaner v2.011 - Rapport créé le 06/12/2012 à 01:14:42 # Mis à jour le 02/12/2012 par Xplode # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits) # Nom d'utilisateur : Darwed - DARWED-PC # Mode de démarrage : Normal # Exécuté depuis : C:\Users\Darwed\Downloads\Programs\adwcleaner.exe # Option [Recherche] ***** [services] ***** ***** [Fichiers / Dossiers] ***** Dossier Présent : C:\ProgramData\Partner Dossier Présent : C:\Users\Darwed\AppData\LocalLow\AskToolbar Dossier Présent : C:\Users\Darwed\AppData\LocalLow\boost_interprocess Dossier Présent : C:\Users\Darwed\AppData\Roaming\Mozilla\Firefox\Profiles\qpl26zgb.default\extensions\cacaoweb@cacaoweb.org Dossier Présent : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE} Fichier Présent : C:\Users\Darwed\AppData\Roaming\Mozilla\Firefox\Profiles\qpl26zgb.default\searchplugins\daemon-search.xml ***** [Registre] ***** Clé Présente : HKCU\Software\AppDataLow\AskToolbarInfo Clé Présente : HKCU\Software\AppDataLow\Software\AskToolbar Clé Présente : HKCU\Software\Ask.com Clé Présente : HKCU\Software\cacaoweb Clé Présente : HKCU\Software\Conduit Clé Présente : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E} Clé Présente : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4FC7-90CC-5EA0ABBE9EB8} Clé Présente : HKLM\SOFTWARE\Classes\AppID\{28A88B70-D874-4f73-BBBA-9B2B222FB7D6} Clé Présente : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874} Clé Présente : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL Clé Présente : HKLM\SOFTWARE\Classes\AppID\kt_bho_dll.dll Clé Présente : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF Clé Présente : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF Clé Présente : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9 Clé Présente : HKLM\SOFTWARE\Classes\kt_bho.KettleBho Clé Présente : HKLM\SOFTWARE\Classes\kt_bho.KettleBho.1 Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56} Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{86676E13-D6D8-4652-9FCF-F2047F1FB000} Clé Présente : HKLM\Software\Conduit Clé Présente : HKLM\Software\InstallPedia Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440} Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE} Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} Clé Présente : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE} Clé Présente : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456} Clé Présente : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92} Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E} Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF Clé Présente : HKU\S-1-5-21-734875282-250583959-856609165-1000\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E} Clé Présente : HKU\S-1-5-21-734875282-250583959-856609165-1000\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4FC7-90CC-5EA0ABBE9EB8} Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32099AAC-C132-4136-9E9A-4E364A424E17}] Valeur Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}] Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{32099AAC-C132-4136-9E9A-4E364A424E17}] ***** [Navigateurs] ***** -\\ Internet Explorer v9.0.8112.16450 [OK] Le registre ne contient aucune entrée illégitime. -\\ Mozilla Firefox v16.0.2 (fr) Nom du profil : default Fichier : C:\Users\Darwed\AppData\Roaming\Mozilla\Firefox\Profiles\qpl26zgb.default\prefs.js [OK] Le fichier ne contient aucune entrée illégitime. ************************* AdwCleaner[R1].txt - [5767 octets] - [06/12/2012 01:00:58] AdwCleaner[R2].txt - [5827 octets] - [06/12/2012 01:01:54] AdwCleaner[R3].txt - [5778 octets] - [06/12/2012 01:14:42] ########## EOF - C:\AdwCleaner[R3].txt - [5838 octets] ##########

Bonjour Bernard53 et merci pour cette reponse je vais faire ce que tu me demandes mais je ne connais pas la location de Sirefef.dam j'ai cru en avoir fini avec ce probleme, donc j'ai viré Avira et installé MSE microsoft security essentials, ensuite j'ai procédé à une recherche et il m'a trouvé 2 trojan et 2 virus, j'ai demandé a nettoyer et n'ai pas noté le resultat... je me souviens qu'il a trouvé un Sirefef.B dans win/system32/services.... c'est tout donc je vais recommencer la demarche a zero je pense qu'il vaut mieux que je desinstalle l'antivirus avant, non?? rapport posté : http://cjoint.com/?0LfnQxtAdxQ --------------------------------------- Up !

--- 2 décembre à 15h20 --- Bonjour a tous! Grace au logiciel de detection en ligne de trendmicro Housecall, j'ai détecté la présence de SIREFEF.DAM sur mon ordi portable, ce que Avira Free Antiviirus n'arrivait pas a détecter. (désolé si je commence comme une pub!) Du coup, j'ai lancé un nettoyage qui s'est avéré infructueux, et malgré de nombreux essais et redemarrages, rien n'y fait, à chaque scan en profondeur de Housecall, le meme SIREFEF.DAM est à nouveau détecté. Quelqu'un peut-il m'aider à eradiquer cet invité surprise de ma machine? Vous remerciant d'abord pour votre implication, j'ai déjà été aidé auparavant par le biais d'un forum similaire et des passionnés inépuisables, et on doit bien vous rendre les honneurs suite au boulot et à l'aide que vous apportez sur la toile chaque jour... Donc Merci d'avance, voilà. Darwed --- 2 décembre à 15h23 --- je viens de DL ZHPdiag mais je comprend pas bien l'analyse s'est faite mais je ne vois pas quoi en tirer ni comment poster le rapport... --- 2 décembre à 15h45 --- Pareil pour Rogue Killer dont je colle ici le rapport: (j'essaye la procedure de depart comme ici : http://forum.zebulon.fr/infection-par-sirefef-t196400.html) RogueKiller V8.3.1 [Dec 2 2012] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : RogueKiller - Geeks to Go Forums Site Web : RogueKiller Blog : tigzy-RK Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Darwed [Droits d'admin] Mode : Recherche -- Date : 02/12/2012 15:42:41 ¤¤¤ Processus malicieux : 1 ¤¤¤ [sUSP PATH] PLFSetI.exe -- C:\Windows\PLFSetI.exe -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 9 ¤¤¤ [RUN][sUSP PATH] HKLM\[...]\Run : PLFSetI (C:\Windows\PLFSetI.exe) -> TROUVÉ [RUN][NOTFOUND] HKLM\[...]\Run : vctfp (rundll32.exe ",AppendTempFileList) -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\Darwed\AppData\Local\{f41e1a17-a668-d7a7-2400-fed914307be3}\n.) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : C:\Windows\Installer\{f41e1a17-a668-d7a7-2400-fed914307be3}\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\Windows\Installer\{f41e1a17-a668-d7a7-2400-fed914307be3}\L --> TROUVÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ [susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD6400BEVT-22A0RT0 +++++ --- User --- [MBR] 117f0fcef20bea3f83ab0d0589027354 [bSP] 03b881b3a155c165e06f333fec9f8b89 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 24782848 | Size: 598378 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_02122012_154241.txt >> RKreport[1]_S_02122012_154241.txt --- 2 décembre à 16h40 --- 2eme rapport RogueKiller apres quelques suppressions dans les onglets processus, registres et hosts et redemarrages (x2 Il semble que ZeroAccess soit détecté, rien sur un SIREFEF.DAM : RogueKiller V8.3.1 [Dec 2 2012] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : RogueKiller - Geeks to Go Forums Site Web : RogueKiller Blog : tigzy-RK Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Darwed [Droits d'admin] Mode : Recherche -- Date : 02/12/2012 16:41:41 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> TROUVÉ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> TROUVÉ [susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD6400BEVT-22A0RT0 +++++ --- User --- [MBR] 117f0fcef20bea3f83ab0d0589027354 [bSP] 03b881b3a155c165e06f333fec9f8b89 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 24782848 | Size: 598378 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[7]_S_02122012_164141.txt >> RKreport[1]_S_02122012_154241.txt ; RKreport[2]_D_02122012_155830.txt ; RKreport[3]_D_02122012_155908.txt ; RKreport[4]_S_02122012_160916.txt ; RKreport[5]_S_02122012_161042.txt ; RKreport[6]_D_02122012_161232.txt ; RKreport[7]_S_02122012_164141.txt -édit- Dans cette section, il ne faut pas multiplier les messages dans ton sujet avant d'avoir été pris en charge : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs. Utilise plutôt le bouton « Modifier » situé en bas à droite de ton premier message… OK MERCI pour la fusion des messages REPRISE DU RAPPORT rapport apres le RAZ HOSTS et PROXY RogueKiller V8.3.1 [Dec 2 2012] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/'>http://www.geekstogo.com/forum/files/file/413-roguekiller/'>http://www.geekstogo.com/forum/files/file/413-roguekiller/'>http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/'>http://www.sur-la-toile.com/RogueKiller/'>http://www.sur-la-toile.com/RogueKiller/'>http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/'>http://tigzyrk.blogspot.com/'>http://tigzyrk.blogspot.com/'>http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Darwed [Droits d'admin] Mode : Proxy RAZ -- Date : 02/12/2012 16:57:21 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ Termine : << RKreport[9]_PR_02122012_165721.txt >> RKreport[1]_S_02122012_154241.txt ; RKreport[2]_D_02122012_155830.txt ; RKreport[3]_D_02122012_155908.txt ; RKreport[4]_S_02122012_160916.txt ; RKreport[5]_S_02122012_161042.txt ; RKreport[6]_D_02122012_161232.txt ; RKreport[7]_S_02122012_164141.txt ; RKreport[8]_H_02122012_165021.txt ; RKreport[9]_PR_02122012_165721.txt Rapport apres DNS RogueKiller V8.3.1 [Dec 2 2012] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Darwed [Droits d'admin] Mode : DNS RAZ -- Date : 02/12/2012 17:09:56 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ Termine : << RKreport[10]_DN_02122012_170956.txt >> RKreport[10]_DN_02122012_170956.txt ; RKreport[1]_S_02122012_154241.txt ; RKreport[2]_D_02122012_155830.txt ; RKreport[3]_D_02122012_155908.txt ; RKreport[4]_S_02122012_160916.txt ; RKreport[5]_S_02122012_161042.txt ; RKreport[6]_D_02122012_161232.txt ; RKreport[7]_S_02122012_164141.txt ; RKreport[8]_H_02122012_165021.txt ; RKreport[9]_PR_02122012_165721.txt Rapport apres RACC RogueKiller V8.3.1 [Dec 2 2012] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Darwed [Droits d'admin] Mode : Raccourcis RAZ -- Date : 02/12/2012 17:15:14 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Attributs de fichiers restaures: ¤¤¤ Bureau: Success 1 / Fail 0 Lancement rapide: Success 1 / Fail 0 Programmes: Success 10 / Fail 0 Menu demarrer: Success 1 / Fail 0 Dossier utilisateur: Success 359 / Fail 0 Mes documents: Success 2 / Fail 2 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 897 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 109 / Fail 0 Sauvegarde: [NOT FOUND] Lecteurs: [C:] \Device\HarddiskVolume3 -- 0x3 --> Restored [D:] \Device\CdRom0 -- 0x5 --> Skipped [E:] \Device\CdRom1 -- 0x5 --> Skipped ¤¤¤ Infection : ZeroAccess ¤¤¤ Termine : << RKreport[11]_SC_02122012_171514.txt >> RKreport[10]_DN_02122012_170956.txt ; RKreport[11]_SC_02122012_171514.txt ; RKreport[1]_S_02122012_154241.txt ; RKreport[2]_D_02122012_155830.txt ; RKreport[3]_D_02122012_155908.txt ; RKreport[4]_S_02122012_160916.txt ; RKreport[5]_S_02122012_161042.txt ; RKreport[6]_D_02122012_161232.txt ; RKreport[7]_S_02122012_164141.txt ; RKreport[8]_H_02122012_165021.txt ; RKreport[9]_PR_02122012_165721.txt Rapport final (enfin je crois, apres redemarrage, nombreux fichiers RKreport sur le bureau : je poste le n°12 apparemment le dernier : RogueKiller V8.3.1 [Dec 2 2012] par Tigzy mail : tigzyRK<at>gmail<dot>com Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Darwed [Droits d'admin] Mode : Suppression -- Date : 02/12/2012 17:22:37 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_32\Desktop.ini --> SUPPRIMÉ AU REBOOT [ZeroAccess][FILE] Desktop.ini : C:\Windows\Assembly\GAC_64\Desktop.ini --> SUPPRIMÉ AU REBOOT [susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com 127.0.0.1 100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD6400BEVT-22A0RT0 +++++ --- User --- [MBR] 117f0fcef20bea3f83ab0d0589027354 [bSP] 03b881b3a155c165e06f333fec9f8b89 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24578048 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 24782848 | Size: 598378 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[12]_D_02122012_172237.txt >> RKreport[10]_DN_02122012_170956.txt ; RKreport[11]_SC_02122012_171514.txt ; RKreport[12]_D_02122012_172237.txt ; RKreport[1]_S_02122012_154241.txt ; RKreport[2]_D_02122012_155830.txt ; RKreport[3]_D_02122012_155908.txt ; RKreport[4]_S_02122012_160916.txt ; RKreport[5]_S_02122012_161042.txt ; RKreport[6]_D_02122012_161232.txt ; RKreport[7]_S_02122012_164141.txt ; RKreport[8]_H_02122012_165021.txt ; RKreport[9]_PR_02122012_165721.txt FIN Je mance combofix : rapport que voici : ComboFix 12-12-02.01 - Darwed 03/12/2012 0:40.1.4 - x64 Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3956.2322 [GMT 1:00] Lancé depuis: c:\users\Darwed\Downloads\Programs\ComboFix.exe AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C} SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\program files (x86)\Common Files\packardbell.ico c:\program files (x86)\InstallPedia c:\program files (x86)\InstallPedia\Ionic.Zip.Reduced.dll c:\programdata\FullRemove.exe c:\users\Darwed\AppData\Roaming\.# c:\users\Darwed\AppData\Roaming\cacaoweb c:\users\Darwed\AppData\Roaming\cacaoweb\npdfile.dat c:\users\Darwed\AppData\Roaming\cacaoweb\storage.db c:\windows\assembly\GAC_32\Desktop.ini c:\windows\assembly\GAC_64\Desktop.ini c:\windows\SysWow64\muzapp.exe c:\windows\SysWow64\System32\MASetupCleaner.exe c:\windows\SysWow64\System32\muzapp.exe . Une copie infectée de c:\windows\system32\Services.exe a été trouvée et désinfectée Copie restaurée à partir de - c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe . . ((((((((((((((((((((((((((((( Fichiers créés du 2012-11-02 au 2012-12-02 )))))))))))))))))))))))))))))))))))) . . 2012-12-02 23:51 . 2012-12-02 23:51 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-12-02 13:30 . 2012-12-02 13:30 -------- d-----w- c:\windows\SysWow64\Liste Spéciale 2012-12-02 13:29 . 2012-12-02 13:51 -------- d-----w- C:\ZHP 2012-12-02 13:29 . 2012-12-02 13:29 -------- d-----w- c:\program files (x86)\ZHPDiag 2012-11-24 12:09 . 2012-09-24 22:16 95208 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll 2012-11-23 20:58 . 2012-07-26 05:04 2560 ----a-w- c:\windows\system32\drivers\fr-FR\wdf01000.sys.mui 2012-11-23 20:58 . 2012-07-26 04:55 785512 ----a-w- c:\windows\system32\drivers\Wdf01000.sys 2012-11-23 20:58 . 2012-07-26 04:55 54376 ----a-w- c:\windows\system32\drivers\WdfLdr.sys 2012-11-23 20:58 . 2012-07-26 02:36 9728 ----a-w- c:\windows\system32\Wdfres.dll 2012-11-23 20:53 . 2012-07-26 03:08 84992 ----a-w- c:\windows\system32\WUDFSvc.dll 2012-11-23 20:53 . 2012-07-26 03:08 194048 ----a-w- c:\windows\system32\WUDFPlatform.dll 2012-11-23 20:53 . 2012-07-26 02:26 87040 ----a-w- c:\windows\system32\drivers\WUDFPf.sys 2012-11-23 20:53 . 2012-07-26 02:26 198656 ----a-w- c:\windows\system32\drivers\WUDFRd.sys 2012-11-23 20:53 . 2012-07-26 03:08 229888 ----a-w- c:\windows\system32\WUDFHost.exe 2012-11-23 20:53 . 2012-07-26 03:08 744448 ----a-w- c:\windows\system32\WUDFx.dll 2012-11-23 20:53 . 2012-07-26 03:08 45056 ----a-w- c:\windows\system32\WUDFCoinstaller.dll 2012-11-13 18:13 . 2012-11-28 14:22 -------- d-----w- c:\users\Darwed\AppData\Roaming\IDM 2012-11-13 18:13 . 2012-12-02 23:53 -------- d-----w- c:\users\Darwed\AppData\Roaming\DMCache 2012-11-13 18:13 . 2012-12-01 20:53 -------- d-----w- c:\program files (x86)\Internet Download Manager . . . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2012-12-02 13:17 . 2012-07-20 15:28 22064 ----a-w- c:\windows\DCEBoot64.exe 2012-11-23 21:03 . 2012-04-30 16:55 697272 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe 2012-11-23 21:03 . 2011-05-30 17:51 73656 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl 2012-11-23 20:54 . 2010-06-07 19:12 66395536 ----a-w- c:\windows\system32\MRT.exe 2012-09-14 19:19 . 2012-11-02 16:26 2048 ----a-w- c:\windows\system32\tzres.dll 2012-09-14 18:28 . 2012-11-02 16:26 2048 ----a-w- c:\windows\SysWow64\tzres.dll . . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 . [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}] 2009-11-05 20:42 433648 ----a-w- c:\programdata\Partner\Partner.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IDMan"="c:\program files (x86)\Internet Download Manager\IDMan.exe" [2012-10-26 3540416] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\BackupManagerTray.exe" [2009-09-24 262912] "Camera Assistant Software"="c:\program files (x86)\Video Web Camera\traybar.exe" [2009-12-03 600688] "LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2009-11-01 1094736] "RemoteControl8"="c:\program files (x86)\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-04-15 91432] "ROUTE66Sync"="c:\program files (x86)\ROUTE 66\ROUTE 66 Sync\Sync9Loader.exe" [2010-06-29 176128] "BDRegion"="c:\program files (x86)\Cyberlink\Shared Files\brs.exe" [2010-01-19 75048] "QuickTime Task"="c:\program files (x86)\QuickTime\QTTask.exe" [2010-11-29 421888] "iTunesHelper"="c:\program files (x86)\iTunes\iTunesHelper.exe" [2011-03-07 421160] "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-07-31 38872] "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-11 919008] "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-11-25 98304] "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "OrangePlayer"="c:\program files (x86)\Orange\Media Player\Media Player.exe" [2009-09-05 319488] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) "PromptOnSecureDesktop"= 0 (0x0) . R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-03 160944] R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2009-07-22 40448] R3 androidusb;SAMSUNG Android Composite ADB Interface Driver;c:\windows\system32\Drivers\ssadadb.sys [2010-05-12 36328] R3 dgderdrv;dgderdrv;c:\windows\system32\drivers\dgderdrv.sys [2010-07-26 20568] R3 driverhardwarev2x64;driverhardwarev2x64;c:\program files\ma-config.com\Drivers\driverhardwarev2x64.sys [2010-08-30 15872] R3 KiesAllShare;SAMSUNG KiesAllShare Service;c:\program files (x86)\Samsung\Kies\WiselinkPro\WiselinkPro.exe [2010-05-04 9241088] R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\x64\maconfservice.exe [2010-09-12 325120] R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [2009-06-10 292864] R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [2009-06-10 1485312] R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [2009-06-10 740864] R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2010-04-27 127488] R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2010-04-27 18944] R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2010-04-27 161280] R3 ssadbus;SAMSUNG Android USB Composite Device driver (WDM);c:\windows\system32\DRIVERS\ssadbus.sys [2010-05-12 125416] R3 ssadmdfl;SAMSUNG Android USB Modem (Filter);c:\windows\system32\DRIVERS\ssadmdfl.sys [2010-05-12 16872] R3 ssadmdm;SAMSUNG Android USB Modem Drivers;c:\windows\system32\DRIVERS\ssadmdm.sys [2010-05-12 159208] R3 ssadserd;SAMSUNG Android USB Diagnostic Serial Port (WDM);c:\windows\system32\DRIVERS\ssadserd.sys [2010-05-12 126952] R3 stdriver;Sound tap driver Upper Class Filter Driver v2.0.0.0;c:\windows\system32\DRIVERS\stdriver64.sys [2010-07-13 56888] R3 TFsExDisk;TFsExDisk;c:\windows\System32\Drivers\TFsExDisk.sys [2010-06-14 16448] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392] R3 TurboBoost;TurboBoost;c:\program files\Intel\TurboBoost\TurboBoost.exe [2009-11-02 126352] R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys [2011-02-18 51712] R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-07 1255736] R4 OberonGameConsoleService;Oberon Media Game Console service;c:\program files (x86)\Packard Bell GameZone\GameConsole\OberonGameConsoleService.exe [2009-08-29 44312] R4 Partner Service;Partner Service;c:\programdata\Partner\Partner.exe [2009-11-05 332272] S0 PxHlpa64;PxHlpa64;c:\windows\System32\Drivers\PxHlpa64.sys [2008-06-16 55024] S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x] S2 AdobeActiveFileMonitor7.0;Adobe Active File Monitor V7;c:\program files (x86)\Adobe\Photoshop Elements 7.0\PhotoshopElementsFileAgent.exe [2008-12-08 169312] S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2012-02-15 235520] S2 ePowerSvc;Acer ePower Service;c:\program files\Packard Bell\Packard Bell Power Management\ePowerSvc.exe [2009-09-30 844320] S2 Greg_Service;GRegService;c:\program files (x86)\Packard Bell\Registration\GregHSRW.exe [2009-08-28 1150496] S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Packard Bell MyBackup\IScheduleSvc.exe [2009-09-24 62720] S2 TurboB;Turbo Boost UI Monitor driver;c:\windows\system32\DRIVERS\TurboB.sys [2009-11-02 13784] S2 Updater Service;Updater Service;c:\program files\Packard Bell\Packard Bell Updater\UpdaterService.exe [2009-07-04 240160] S3 HECIx64;Intel® Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344] S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2009-10-26 151936] S3 k57nd60a;Broadcom NetLink Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2009-08-06 320040] . . --- Autres Services/Pilotes en mémoire --- . *NewlyCreated* - WS2IFSL . Contenu du dossier 'Tâches planifiées' . 2012-12-02 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-30 21:03] . 2012-12-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-03 22:56] . 2012-12-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-06-03 22:56] . . --------- X64 Entries ----------- . . [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}] 2009-11-05 20:42 750064 ----a-w- c:\programdata\Partner\Partner64.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\IDM Shell Extension] @="{CDC95B92-E27C-4745-A8C5-64A52A78855D}" [HKEY_CLASSES_ROOT\CLSID\{CDC95B92-E27C-4745-A8C5-64A52A78855D}] 2012-11-15 23:07 23496 ----a-w- c:\program files (x86)\Internet Download Manager\IDMShellExt64.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IAAnotif"="c:\program files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-05 186904] "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-10-29 8312352] "AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2009-07-22 323072] "Acer ePower Management"="c:\program files\Packard Bell\Packard Bell Power Management\ePowerTray.exe" [2009-09-30 823840] . ------- Examen supplémentaire ------- . uStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_tj75&r=2736051022b6l0400z1i5f4571y228 uLocal Page = c:\windows\system32\blank.htm mDefault_Page_URL = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_tj75&r=2736051022b6l0400z1i5f4571y228 mStart Page = hxxp://homepage.packardbell.com/rdr.aspx?b=ACPW&l=040c&m=easynote_tj75&r=2736051022b6l0400z1i5f4571y228 mLocal Page = c:\windows\SysWOW64\blank.htm uInternet Settings,ProxyOverride = *.local IE: E&xport to Microsoft Excel - c:\progra~2\MICROS~2\Office12\EXCEL.EXE/3000 IE: Télécharger avec IDM - c:\program files (x86)\Internet Download Manager\IEExt.htm IE: Télécharger tous les liens avec IDM - c:\program files (x86)\Internet Download Manager\IEGetAll.htm TCP: DhcpNameServer = 192.168.1.1 DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_9418.cab FF - ProfilePath - c:\users\Darwed\AppData\Roaming\Mozilla\Firefox\Profiles\qpl26zgb.default\ FF - prefs.js: browser.startup.homepage - hxxp://news.google.fr/nwshp?hl=fr&tab=wn FF - ExtSQL: 2012-11-03 21:39; asrs-6gzTcCreJfsqoIj7t8ltxj2HuKc@jetpack; c:\users\Darwed\AppData\Roaming\Mozilla\Firefox\Profiles\qpl26zgb.default\extensions\asrs-6gzTcCreJfsqoIj7t8ltxj2HuKc@jetpack.xpi FF - ExtSQL: 2012-11-23 22:43; mozilla_cc@internetdownloadmanager.com; c:\users\Darwed\AppData\Roaming\IDM\idmmzcc5 . - - - - ORPHELINS SUPPRIMES - - - - . BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) Toolbar-Locked - (no file) Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) Wow6432Node-HKLM-Run-<NO NAME> - (no file) Wow6432Node-HKLM-Run-NPSStartup - (no file) Toolbar-Locked - (no file) WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe . . . --------------------- CLES DE REGISTRE BLOQUEES --------------------- . [HKEY_USERS\S-1-5-21-734875282-250583959-856609165-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice] @Denied: (2) (LocalSystem) "Progid"="WindowsLiveMail.Email.1" . [HKEY_USERS\S-1-5-21-734875282-250583959-856609165-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice] @Denied: (2) (LocalSystem) "Progid"="WindowsLiveMail.VCard.1" . [HKEY_USERS\S-1-5-21-734875282-250583959-856609165-1000_Classes\Wow6432Node\CLSID\{46461d62-0445-4061-8fa5-51f027b23a32}] @Denied: (Full) (Everyone) @Allowed: (Read) (RestrictedCode) "Model"=dword:00000150 "Therad"=dword:0000000a . [HKEY_USERS\S-1-5-21-734875282-250583959-856609165-1000_Classes\Wow6432Node\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}] @Denied: (Full) (Everyone) @Allowed: (Read) (RestrictedCode) "scansk"=hex(0):2b,ad,12,b5,fd,27,2f,2c,b8,b3,eb,ff,57,8e,e2,bd,cc,e1,18,f2,09, 1d,79,bc,7e,68,9d,5d,98,a7,2d,32,b5,d3,d3,05,9b,31,ae,74,00,00,00,00,00,00,\ . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_287_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe,-101" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_287_ActiveX.exe" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.11" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_287.ocx, 1" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}] @Denied: (A 2) (Everyone) @="IFlashBroker5" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0005\AllUserSettings] @Denied: (A) (Users) @Denied: (A) (Everyone) @Allowed: (B 1 2 3 4 5) (S-1-5-20) "BlindDial"=dword:00000000 . [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Autres processus actifs ------------------------ . c:\program files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\program files (x86)\Bonjour\mDNSResponder.exe c:\program files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe c:\windows\SysWOW64\PnkBstrA.exe c:\program files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe . ************************************************************************** . Heure de fin: 2012-12-03 01:03:21 - La machine a redémarré ComboFix-quarantined-files.txt 2012-12-03 00:03 . Avant-CF: 305 405 935 616 octets libres Après-CF: 305 103 269 888 octets libres . - - End Of File - - A2C74B3B6FE8CCB066E71DE7DCCAE769 ---------------------------------------------------------------------------- Je reste en attente de votre expertise suite a ces rapports j'ai essayé de faire de mon mieux en anticipant voila Merci