[Résolu] PC infecté

[Apollo]

Bonjour,

 

ton coup de gueule au besoin

Je me demande bien pourquoi je ferais cela... je ne pousse des coups de gueule que lorsqu'un membre manque de courtoisie ou est franchement désagréable, ce qui n'est pas ton cas

 

Dans ce cas, on va utiliser ComboFix; si tu l'as déjà téléchargé, mets l'exécutable à la corbeille car cet outil évolue chaque jour.

 

Dans le cas où CF ne démarrerait pas comme il faut, inspire-toi de la méthode de Pear pour le lancer: TR/ATRAPS.Gen & TR/ATRAPS.Gen2 - Forums Zebulon.fr

 

Mais dans tous les cas, je te demande d'être patiente; une fois lancé combofix ne peut pas être arrêté sauf s'il durait plus de 30/40 minutes, ce qui est relativement rare. Je te rappelle qu'il doit effectuer 50 étapes et que tu ne dois rien toucher jusqu'à ce qu'il produise son rapport. Ne t'inquiète pas, CF te tient informée de ce qu'il fait jusqu'à la fin.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

Bonne journée.

 

@++

Modifié le 30 juillet 2012 par Apollo

[ChristelleF]

Bonjour Apollo,

 

en fait, je parlais de "coup de gueule" parce que je trouve déjà super que des bénévoles prennent le temps d'aider les pauvres internautes complètement dépassés par les problèmes techniques, alors je pourrais comprendre que, quand on ne suit pas une de vos directives, vous estimiez que c'est pousser le bouchon un peu loin (tiens, ça me fait penser à une pub, ça .

Sinon, ça y est, j'ai exécuté ComboFix (ça a pris moins d'une demi-heure) et je te poste le rapport ci-après :

 

-----------------------------------

ComboFix 12-07-30.01 - CForest 30/07/2012 11:57:27.1.2 - x64

Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3999.2491 [GMT 2:00]

Lancé depuis: c:\users\CForest\Desktop\ComboFix.exe

AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}

SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\users\CForest\AppData\Roaming\Adobe\plugs

c:\users\CForest\AppData\Roaming\Adobe\shed

c:\users\CForest\g2mdlhlpx.exe

c:\windows\Installer\{8705b549-a43e-5080-1ea6-4b256bcfa530}\@

c:\windows\Installer\{8705b549-a43e-5080-1ea6-4b256bcfa530}\L\00000004.@

c:\windows\Installer\{8705b549-a43e-5080-1ea6-4b256bcfa530}\U\00000004.@

c:\windows\Installer\{8705b549-a43e-5080-1ea6-4b256bcfa530}\U\00000008.@

c:\windows\Installer\{8705b549-a43e-5080-1ea6-4b256bcfa530}\U\000000cb.@

c:\windows\Installer\{8705b549-a43e-5080-1ea6-4b256bcfa530}\U\80000000.@

.

Une copie infectée de c:\windows\system32\services.exe a été trouvée et désinfectée

Copie restaurée à partir de - c:\32788r22fwjfw\HarddiskVolumeShadowCopy4_!Windows!System32!services.exe

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-06-28 au 2012-07-30 ))))))))))))))))))))))))))))))))))))

.

.

2012-07-30 10:07 . 2012-07-30 10:07 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-07-28 17:10 . 2012-07-28 17:10 512 ----a-w- C:\PhysicalDisk0_MBR.bin

2012-07-28 17:03 . 2012-07-28 17:10 -------- d-----w- C:\ZHP

2012-07-28 17:03 . 2012-07-28 17:10 -------- d-----w- c:\program files (x86)\ZHPDiag

2012-07-27 22:22 . 2012-07-27 22:22 -------- d-----w- c:\users\CForest\AppData\Roaming\Malwarebytes

2012-07-27 22:22 . 2012-07-27 22:22 -------- d-----w- c:\programdata\Malwarebytes

2012-07-27 22:22 . 2012-07-27 22:22 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware

2012-07-27 22:22 . 2012-07-03 11:46 24904 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-07-26 20:12 . 2012-07-26 20:15 -------- d-----w- c:\programdata\Windows Codecs

2012-07-26 20:12 . 2012-07-26 20:13 -------- d-----w- c:\program files (x86)\Mega Codec Pack

2012-07-26 11:06 . 2012-07-26 11:06 -------- d-----w- c:\programdata\Translation Workspace

2012-07-11 23:00 . 2012-06-12 03:08 3148800 ----a-w- c:\windows\system32\win32k.sys

2012-07-11 08:54 . 2012-06-06 06:05 466944 ----a-w- c:\program files\Common Files\System\ado\msadomd.dll

2012-07-03 15:42 . 2012-07-29 15:56 -------- d-----w- c:\users\CForest\AppData\Roaming\vlc

2012-07-03 15:41 . 2012-06-15 04:51 95232 ----a-w- c:\windows\system32\pdfcmon.dll

2012-07-03 15:41 . 1998-06-23 23:00 137000 ----a-w- c:\windows\SysWow64\MSMAPI32.OCX

2012-07-03 15:41 . 1998-07-13 00:08 59904 ----a-w- c:\windows\SysWow64\MSCC2FR.DLL

2012-07-03 15:41 . 1998-07-13 00:08 141312 ----a-w- c:\windows\SysWow64\MSCMCFR.DLL

2012-07-03 15:41 . 1998-07-05 23:00 23552 ----a-w- c:\windows\SysWow64\MSMPIDE.DLL

2012-07-03 15:41 . 2012-07-03 15:42 -------- d-----w- c:\program files (x86)\PDFCreator

2012-07-03 15:38 . 2012-07-03 15:38 -------- d-----w- c:\program files (x86)\VideoLAN

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-07-27 22:10 . 2012-03-30 08:46 426184 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe

2012-07-27 22:10 . 2011-05-18 19:46 70344 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl

2012-07-11 22:56 . 2010-02-17 12:12 59701280 ----a-w- c:\windows\system32\MRT.exe

2012-07-03 16:21 . 2012-03-11 15:29 54072 ----a-w- c:\windows\system32\drivers\aswRdr2.sys

2012-07-03 16:21 . 2011-03-02 11:43 958400 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2012-07-03 16:21 . 2010-02-21 22:32 355856 ----a-w- c:\windows\system32\drivers\aswSP.sys

2012-07-03 16:21 . 2010-02-21 22:32 59728 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2012-07-03 16:21 . 2010-02-21 22:32 71064 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2012-07-03 16:21 . 2010-02-21 22:32 25232 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2012-07-03 16:21 . 2010-09-26 20:41 41224 ----a-w- c:\windows\avastSS.scr

2012-07-03 16:21 . 2010-02-21 22:32 227648 ----a-w- c:\windows\SysWow64\aswBoot.exe

2012-07-03 16:21 . 2011-03-02 11:43 285328 ----a-w- c:\windows\system32\aswBoot.exe

2012-06-29 10:04 . 2012-07-24 11:18 9133488 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{ED8B5EB2-674D-41F6-8F78-A20CD61CC28D}\mpengine.dll

2012-06-25 14:04 . 2012-06-25 14:04 1394248 ----a-w- c:\windows\SysWow64\msxml4.dll

2012-06-02 22:19 . 2012-06-21 07:04 38424 ----a-w- c:\windows\system32\wups.dll

2012-06-02 22:19 . 2012-06-21 07:05 2428952 ----a-w- c:\windows\system32\wuaueng.dll

2012-06-02 22:19 . 2012-06-21 07:05 57880 ----a-w- c:\windows\system32\wuauclt.exe

2012-06-02 22:19 . 2012-06-21 07:05 44056 ----a-w- c:\windows\system32\wups2.dll

2012-06-02 22:19 . 2012-06-21 07:04 701976 ----a-w- c:\windows\system32\wuapi.dll

2012-06-02 22:15 . 2012-06-21 07:05 2622464 ----a-w- c:\windows\system32\wucltux.dll

2012-06-02 22:15 . 2012-06-21 07:04 99840 ----a-w- c:\windows\system32\wudriver.dll

2012-06-02 13:19 . 2012-06-21 07:04 186752 ----a-w- c:\windows\system32\wuwebv.dll

2012-06-02 13:15 . 2012-06-21 07:04 36864 ----a-w- c:\windows\system32\wuapp.exe

2012-05-31 10:25 . 2010-02-22 11:20 279656 ------w- c:\windows\system32\MpSigStub.exe

2012-05-04 17:29 . 2012-02-14 10:12 772504 ----a-w- c:\windows\SysWow64\npdeployJava1.dll

2012-05-04 17:29 . 2010-06-04 21:45 687504 ----a-w- c:\windows\SysWow64\deployJava1.dll

2012-05-04 11:06 . 2012-06-14 00:15 5559664 ----a-w- c:\windows\system32\ntoskrnl.exe

2012-05-04 11:00 . 2012-06-29 22:47 366592 ----a-w- c:\windows\system32\qdvd.dll

2012-05-04 10:03 . 2012-06-14 00:15 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe

2012-05-04 10:03 . 2012-06-14 00:15 3913072 ----a-w- c:\windows\SysWow64\ntoskrnl.exe

2012-05-04 09:59 . 2012-06-29 22:47 514560 ----a-w- c:\windows\SysWow64\qdvd.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Windows Codecs]

@="{1EC23CFF-4C58-458f-924C-8519AEF61B32}"

[HKEY_CLASSES_ROOT\CLSID\{1EC23CFF-4C58-458f-924C-8519AEF61B32}]

2012-07-26 20:12 172032 ----a-w- c:\programdata\Windows Codecs\MediaShellOverlays.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-11-20 1475584]

"HPADVISOR"="c:\program files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2010-06-29 1689144]

"CrossRiderPlugin"="c:\program files (x86)\CrossriderWebApps\Crossrider.exe" [2011-05-15 478720]

"ISUSPM"="c:\programdata\FLEXnet\Connect\11\ISUSPM.exe" [2011-06-04 222496]

"uTorrent"="c:\program files (x86)\uTorrent\uTorrent.exe" [2012-05-19 880496]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"QlbCtrl.exe"="c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2010-02-25 323640]

"Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2009-09-02 60464]

"WirelessAssistant"="c:\program files (x86)\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2010-03-23 500792]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]

"PMBVolumeWatcher"="c:\program files (x86)\Sony\PMB\PMBVolumeWatcher.exe" [2011-08-24 651832]

"DivXUpdate"="c:\program files (x86)\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]

"DNS7reminder"="c:\program files (x86)\Nuance\NaturallySpeaking11\Ereg\Ereg.exe" [2010-10-27 328992]

"HP Software Update"="c:\program files (x86)\Hp\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]

"avast"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2012-07-03 4273976]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-01-17 252296]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

HP Digital Imaging Monitor.lnk - c:\program files (x86)\Hp\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]

Philips SA30XX Device Manager.lnk - c:\philips\SA30xx Device Manager\SA30XX_DeviceManager.exe [2011-8-12 1605632]

SDL Trados 2007 Speed Launcher.lnk - c:\program files (x86)\SDL International\SDL Trados Synergy 2007\Synergy.exe [2008-10-2 765952]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

"HideFastUserSwitching"= 0 (0x0)

.

[hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"mixer"=wdmaud.drv

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

.

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]

R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072]

R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-05-03 158856]

R3 Com4QLBEx;Com4QLBEx;c:\program files (x86)\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2010-02-25 227896]

R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-07-18 113120]

R3 netw5v64;Intel® Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;c:\windows\system32\DRIVERS\netw5v64.sys [2009-06-10 5434368]

R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]

R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL6.SYS [2009-06-10 292864]

R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV6.SYS [2009-06-10 1485312]

R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT6.SYS [2009-06-10 740864]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]

R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-02-24 1255736]

R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2009-06-10 389120]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928]

S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_960c1f056a541068\AESTSr64.exe [2009-03-02 89600]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-07-03 71064]

S2 DragonSvc;Dragon Service;c:\program files (x86)\Common Files\Nuance\dgnsvc.exe [2011-06-04 296808]

S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2009-07-14 27136]

S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264]

S2 PMBDeviceInfoProvider;PMBDeviceInfoProvider;c:\program files (x86)\Sony\PMB\PMBDeviceInfoProvider.exe [2011-08-24 430136]

S3 IntcHdmiAddService;Intel® High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 139264]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-03-01 187392]

S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]

.

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

ezSharedSvc

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-07-03 16:21 133400 ----a-w- c:\program files\Alwil Software\Avast5\ashShA64.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-09-10 165912]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-10 387608]

"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-10 365592]

"SysTrayApp"="c:\program files\IDT\WDM\sttray64.exe" [2010-03-23 487424]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"LoadAppInit_DLLs"=0x0

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: E&xporter vers Microsoft Excel - c:\progra~2\MICROS~4\OFFICE11\EXCEL.EXE/3000

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\CForest\AppData\Roaming\Mozilla\Firefox\Profiles\6a5bao2x.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr

.

- - - - ORPHELINS SUPPRIMES - - - -

.

URLSearchHooks-{cd90bf73-20f6-44ef-993d-bb920303bd2e} - (no file)

HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe

AddRemove-Adobe Shockwave Player - c:\windows\system32\Adobe\Shockwave 11\uninstaller.exe

AddRemove-EasyBits Magic Desktop - c:\windows\system32\ezMDUninstall.exe

AddRemove-{6F44AF95-3CDE-4513-AD3F-6D45F17BF324} - c:\program files (x86)\InstallShield Installation Information\{6F44AF95-3CDE-4513-AD3F-6D45F17BF324}\setup.exe

AddRemove-Tstream Editor - c:\windows\system32\javaws.exe

.

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_3_300_257_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.11"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_3_300_257.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\DbgagD\1*]

"value"="?\01\05\14\178\15?"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Alwil Software\Avast5\AvastSvc.exe

c:\program files (x86)\CyberLink\Shared files\RichVideo.exe

c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

.

**************************************************************************

.

Heure de fin: 2012-07-30 12:19:22 - La machine a redémarré

ComboFix-quarantined-files.txt 2012-07-30 10:19

.

Avant-CF: 390 659 473 408 octets libres

Après-CF: 390 231 965 696 octets libres

.

- - End Of File - - 125B65651C72BD3514D7123B61FFC78A

 

-----------------------------------

 

Pour info, j'ai dû redémarrer mon PC une deuxième fois (après le redémarrage forcé par CF) pour pouvoir réactiver Avast.

Y a-t-il autre chose à faire maintenant ou tout est ok ?

Merci pour tout et bon lundi !

Christelle

[Apollo]

Re,

 

Eh bien voilà, il est trucidé ton vilain pas beau. Tout va bien maintenant?

 

Si ce n'est déjà fait, clique sur "A tenir à jour" dans ma signature et fais le nécessaire.

 

----------------

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton [suppression]

Copie tout le contenu du texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

 

Tu peux ensuite relancer DelFix et appuyer sur [Désinstaller] afin de supprimer toute trace de son utilisation.

 

@++

[ChristelleF]

Oui, Apollo, tout semble fonctionner correctement. J'ai utilisé mon ordinateur toute la journée (je travaille à domicile) et je n'ai plus reçu aucune alerte de la part d'Avast.

 

J'ai bien exécuté les diverses procédures de mises à jour indiquées via ton lien (WindowsUpdate, Java, etc.), à une exception près : je n'ai pas installé Defender, car cela ne me semble pas être requis.

 

Voici en outre le rapport de DelFix :

------------------------------

# DelFix v8.9 - Rapport créé le 30/07/2012 à 18:34:04

# Mis à jour le 27/07/12 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : CForest - CFOREST-PC (Administrateur)

# Exécuté depuis : C:\Users\CForest\Documents\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\Qoobox

Supprimé : C:\ZHP

Supprimé : C:\Users\CForest\DoctorWeb

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

Supprimé : C:\Program Files (x86)\ZHPDiag

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\AdwCleaner[s1].txt

Supprimé : C:\ComboFix.txt

Supprimé : C:\JavaRa.log

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\Users\CForest\Desktop\adwcleaner.exe

Supprimé : C:\Users\CForest\Desktop\ComboFix.exe

Supprimé : C:\Users\CForest\Desktop\ZHPDiag.txt

Supprimé : C:\Users\CForest\Desktop\ZHPDiag2.exe

Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk

Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

Supprimé : C:\Windows\grep.exe

Supprimé : C:\Windows\PEV.exe

Supprimé : C:\Windows\NIRCMD.exe

Supprimé : C:\Windows\MBR.exe

Supprimé : C:\Windows\SED.exe

Supprimé : C:\Windows\SWREG.exe

Supprimé : C:\Windows\SWSC.exe

Supprimé : C:\Windows\SWXCACLS.exe

Supprimé : C:\Windows\Zip.exe

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKCU\Software\IDAVLab

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

Clé Supprimée : HKLM\SOFTWARE\Swearware

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT

 

~~~~~~ Autres ~~~~~~

 

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [1796 octets] - [30/07/2012 18:34:04]

 

########## EOF - C:\DelFix[s1].txt - [1920 octets] ##########

 

------------------------------

 

J'espère que tout est bon. Merci encore mille fois pour ton aide !!

Et si je n'abuse pas trop... j'aurais une question supplémentaire pour toi : quels sont les outils à exécuter, disons de façon hebdomadaire, pour se protéger des virus/malware/adware/vers/chevaux de Troie et j'en passe ? Depuis plusieurs années, voici ce que j'utilise exclusivement : Avast (version gratuite), Ccleaner et Ghostery. Aurais-tu de meilleures recommandations ou bien des recommandations supplémentaires ?

A +

Christelle

[Apollo]

Bonjour,

 

En gros, il faut faire une analyse complète avec son antivirus une fois par semaine, idem avec MBAM bien tenu à jour.

 

Vérifier que ses applications diverses restent bien à jour, des appli comme java et flash player sont souvent très faillibles et servent d'entrées aux attaques.

 

Nettoyer ses fichiers inutiles et temporaires avec SFT et CCleaner (sans toucher au registre - Win 7 n'aime pas ça du tout- )

Défragmenter les disques une fois par mois.

 

Important: créer le cd de secours de Seven: [seven]Graver la console de réparation sur CD : Astuces pour dépanner Vista et Seven et faire une sauvegarde sur support externe par mois. (par exemple après les mises à jour de Windows Update)

 

Toutes les astuces Windows Seven : Astuces pour Windows Vista - Windows Seven

 

Logiciels et sponsors : Questions sur la Sécurité Windows Eviter les toolbars et les adwares ainsi que les spams.

 

Ne pas installer de cracks et éviter les logiciels de P2P; dis-toi bien que si on insiste si fort là-dessus, c'est parce nous sommes certains que ce sont des nids à virus.

 

Toujours aller chez l'éditeur d'origine pour télécharger un programme.

 

Enfin, avoir un surf responsable

 

Voilou.

 

Bonne journée et bon surf (prudent).

 

• Pense à éditer ton premier post pour ajouter "Résolu" dans le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

 

Utilise pour ça, l'éditeur complet

 

@++

@++

Modifié le 31 juillet 2012 par Apollo

[ChristelleF]

Bonjour Apollo,

 

MERCI POUR TOUS TES CONSEILS. Vraiment.

Je vais indiquer "Résolu" dans mon 1er post de ce pas.

 

Bonne continuation et continue d'aider les internautes moins doués que toi .

Christelle