Infection TR/ATRAPS.Gen2

[Kroala]

Bonjour,

Ya un soucis je vais essayer de tout bien expliquer,

 

Lorsque je démarre le pc, je n'ai plus de "thème" j'ai de gros ralentissement lorsque j'ouvre un dossier.

L'ouverture d'un dossier plante une fois sur deux entrainant le platage de l'explorer.

Une fois dossier ouvert, je n'ai plus la barre pour réduire / agrandir / ou fermer la fentre.

Je ne peux pas cliquer pour ouvrir le contenu du dossier. L'icone de la souri est normal , pas de petit sablier quand j'essaye d'ouvrir un fichier dans un dossier. Il ne se passe simplement rien.

Ensuite l'explorer plante au bout de 5 min de démarrage, il revient de manière aléatoire, 10 à 20 min aprés.

J'utilisai auparavant la version "gamer edition" du W7 et "windows ultimate" apparait maineant au démarrage.

 

Que ce passe t'il ?

merci

[Apollo]

Bonsoir,

 

Je l'ignore; rien de ce qui a été fait ici ne peut expliquer ce phénomène.

 

Je te conseille de voir avec les gens du forum Software.

 

J'avais demandé que tu fasses analyser un fichier: où est la réponse?

 

++

[Kroala]

J'ai réussi a faire le scan en mode sans échec, avira été désactivé mais combofix m'a quand meme prévenu que l'antivirus était actif, mais je suis certain qu'il était totalement fermé.

 

voila le rapport

 

 

ComboFix 12-10-26.05 - Le KRO 27/10/2012 13:39:24.2.2 - x64 NETWORK

Microsoft Windows 7 Ultimate 6.1.7600.0.1252.33.1033.18.4096.3596 [GMT 2:00]

Lancé depuis: c:\users\Le KRO\Desktop\ComboFix.exe

AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}

SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}

* Un nouveau point de restauration a été créé

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\@

c:\windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\L\00000004.@

c:\windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\00000004.@

c:\windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\00000008.@

c:\windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\000000cb.@

c:\windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\80000000.@

c:\windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\80000032.@

c:\windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\80000064.@

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-09-27 au 2012-10-27 ))))))))))))))))))))))))))))))))))))

.

.

2012-10-27 11:48 . 2012-10-27 11:48 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp

2012-10-27 11:48 . 2012-10-27 11:48 -------- d-----w- c:\users\UpdatusUser.LeKRO-PC\AppData\Local\temp

2012-10-27 11:48 . 2012-10-27 11:48 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-10-24 12:05 . 2012-10-24 12:05 -------- d-----w- c:\program files (x86)\Common Files\Java

2012-10-24 00:07 . 2012-10-24 00:07 -------- d-----w- c:\users\Le KRO\AppData\Local\Diagnostics

2012-10-22 11:01 . 2012-10-22 11:03 -------- d-----w- c:\program files (x86)\Euro Truck Simulator 2

2012-10-19 22:38 . 2012-10-19 22:42 -------- d-----w- C:\Unreal Tournament 2004

2012-10-19 18:22 . 2012-10-25 19:42 -------- d-----w- c:\users\Le KRO\AppData\Local\VirtualStore

2012-10-02 11:15 . 2012-10-02 11:15 430952 ----a-w- c:\windows\SysWow64\nvStreaming.exe

2012-09-28 16:53 . 2012-09-28 16:53 -------- d-----w- c:\users\Le KRO\AppData\Local\SKIDROW

2012-09-28 14:50 . 2012-09-28 15:02 -------- d--h--w- c:\program files (x86)\Temp

2012-09-28 14:50 . 2012-05-25 16:06 1706640 ----a-w- c:\windows\RtlExUpd.dll

2012-09-28 12:37 . 2012-09-28 12:37 -------- d-----w- C:\temp

2012-09-28 12:36 . 2012-07-03 15:25 31080 ----a-w- c:\windows\system32\nvhdap64.dll

2012-09-28 12:36 . 2012-07-03 15:25 189288 ----a-w- c:\windows\system32\drivers\nvhda64v.sys

2012-09-28 12:36 . 2012-10-02 22:21 1482600 ----a-w- c:\windows\system32\nvdispgenco64.dll

2012-09-28 11:44 . 2012-09-28 11:59 -------- d-----w- c:\users\Le KRO\AppData\Local\Darksiders2

2012-09-27 16:02 . 2012-09-27 16:02 -------- d-----w- c:\program files (x86)\DAEMON Tools Lite

2012-09-27 15:53 . 2012-09-27 17:20 -------- d-----w- c:\program files (x86)\Ubisoft

2012-09-27 15:53 . 2012-09-28 14:54 -------- d--h--w- c:\program files (x86)\InstallShield Installation Information

2012-09-27 15:53 . 2012-09-27 15:53 -------- d-----w- c:\program files (x86)\Common Files\InstallShield

2012-09-27 15:30 . 2003-04-18 22:39 6659 ----a-w- c:\windows\SysWow64\TANDPL.VXD

2012-09-27 15:30 . 2003-04-18 22:32 4736 ----a-w- c:\windows\SysWow64\drivers\tandpl.sys

2012-09-27 15:30 . 2003-03-02 15:44 7552 ----a-w- c:\windows\SysWow64\drivers\enodpl.sys

2012-09-27 15:30 . 2001-08-31 13:16 6532 ----a-w- c:\windows\SysWow64\ENODPL.VXD

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-10-25 15:15 . 2009-07-13 23:55 332288 ----a-w- c:\windows\system32\uxtheme.dll

2012-10-25 15:15 . 2009-07-13 23:54 44544 ----a-w- c:\windows\system32\themeservice.dll

2012-10-02 22:21 . 2012-02-21 21:04 973672 ----a-w- c:\windows\system32\nvumdshimx.dll

2012-10-02 22:21 . 2011-11-21 19:46 2731880 ----a-w- c:\windows\system32\nvapi64.dll

2012-10-02 22:21 . 2011-11-21 19:46 2428776 ----a-w- c:\windows\SysWow64\nvapi.dll

2012-10-02 22:21 . 2011-11-21 19:46 1760104 ----a-w- c:\windows\system32\nvdispco64.dll

2012-10-02 22:21 . 2011-11-21 19:46 12501352 ----a-w- c:\windows\SysWow64\nvwgf2um.dll

2012-10-02 22:21 . 2009-07-13 21:59 14922600 ----a-w- c:\windows\system32\nvwgf2umx.dll

2012-10-02 22:21 . 2009-06-10 20:37 15309160 ----a-w- c:\windows\SysWow64\nvd3dum.dll

2012-10-02 19:51 . 2012-02-21 21:06 3536817 ----a-w- c:\windows\system32\nvcoproc.bin

2012-10-02 19:51 . 2011-11-21 19:48 3293544 ----a-w- c:\windows\system32\nvsvc64.dll

2012-10-02 19:51 . 2011-11-21 19:48 6200680 ----a-w- c:\windows\system32\nvcpl.dll

2012-10-02 19:50 . 2011-11-21 19:48 891240 ----a-w- c:\windows\system32\nvvsvc.exe

2012-10-02 19:50 . 2011-11-21 19:48 63336 ----a-w- c:\windows\system32\nvshext.dll

2012-10-02 19:50 . 2011-11-21 19:48 2557800 ----a-w- c:\windows\system32\nvsvcr.dll

2012-10-02 19:50 . 2011-11-21 19:48 118120 ----a-w- c:\windows\system32\nvmctray.dll

2012-09-29 17:54 . 2012-01-08 00:04 25928 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-09-27 16:02 . 2011-11-21 19:11 560184 ----a-w- c:\windows\system32\drivers\sptd.sys

2012-09-24 13:32 . 2012-09-22 09:13 477168 ----a-w- c:\windows\SysWow64\npdeployJava1.dll

2012-09-24 13:32 . 2011-12-01 15:43 473072 ----a-w- c:\windows\SysWow64\deployJava1.dll

2012-08-13 17:18 . 2012-02-10 13:29 98848 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2012-08-13 17:18 . 2012-02-10 13:29 132832 ----a-w- c:\windows\system32\drivers\avipbb.sys

2011-01-19 14:27 . 2011-01-19 14:27 2997760 ----a-w- c:\program files (x86)\openofficeorg33.msi

2011-01-19 14:25 . 2011-01-19 14:25 475016 ----a-w- c:\program files (x86)\setup.exe

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Spotify Web Helper"="c:\users\Le KRO\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-06-03 932528]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]

"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2012-08-13 348664]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2012-09-17 254896]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]

"GrpConv"="grpconv -o" [X]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Welcome Center"="c:\windows\system32\OobeFldr.dll" [2009-07-14 859648]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1475072]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]

"LoadAppInit_DLLs"=0 (0x0)

.

R1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [2011-12-16 27760]

R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-07-27 63960]

R2 AntiVirSchedulerService;Avira Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2012-08-13 86224]

R2 cpuz135;cpuz135;c:\windows\system32\drivers\cpuz135_x64.sys [2011-09-21 21992]

R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-17 136176]

R2 KMService;KMService;c:\windows\system32\srvany.exe [x]

R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe [2012-10-02 1258856]

R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-04-05 158856]

R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2012-10-02 382824]

R3 gupdatem;Service Google Update (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-17 136176]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-03-25 51456888]

R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-10-12 115168]

R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [2012-07-03 189288]

R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-09 174440]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]

R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8192su.sys [2010-11-25 694888]

R3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\Wat\WatAdminSvc.exe [2011-11-21 1255736]

S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]

.

.

Contenu du dossier 'Tâches planifiées'

.

2012-10-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-17 15:53]

.

2012-10-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-03-17 15:53]

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]

"Launch LgDeviceAgent"="c:\program files\Logitech\GamePanel Software\LgDevAgt.exe" [2009-08-13 415752]

"Launch LGDCore"="c:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2009-08-13 4195848]

"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2012-06-11 12503184]

.

------- Examen supplémentaire -------

.

uLocal Page = c:\windows\system32\blank.htm

mLocal Page = c:\windows\SysWOW64\blank.htm

IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000

TCP: DhcpNameServer = 212.27.40.240 212.27.40.241

FF - ProfilePath - c:\users\Le KRO\AppData\Roaming\Mozilla\Firefox\Profiles\ekq6ajyv.default\

FF - ExtSQL: 2012-09-22 11:13; {CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}; c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0035-ABCDEFFEDCBA}

FF - ExtSQL: 2012-10-24 14:05; {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}; c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA}

.

- - - - ORPHELINS SUPPRIMES - - - -

.

Wow6432Node-HKLM-RunOnce-<NO NAME> - (no file)

.

.

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-2541211364-4214765884-2963273671-1001\Software\SecuROM\License information*]

"datasecu"=hex:65,10,60,3d,33,6a,a4,67,da,08,f1,c6,bc,34,62,58,06,d2,17,94,ee,

86,95,18,a9,85,88,65,a6,73,51,fe,68,c8,8b,b6,1a,1d,9b,b3,e2,8b,9b,23,16,c8,\

"rkeysecu"=hex:2b,d1,12,23,1f,90,3f,a0,df,f0,85,db,48,a2,e2,a9

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil11e_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash11e.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Heure de fin: 2012-10-27 13:50:52

ComboFix-quarantined-files.txt 2012-10-27 11:50

ComboFix2.txt 2012-10-24 20:28

.

Avant-CF: 244 659 961 856 bytes free

Après-CF: 244 331 286 528 bytes free

.

- - End Of File - - 6EE065C05C65CC5AC2B1613A575B28CE

 

 

 

 

Pour ce qui est du scan sur Virus total, je trouve un fichier services.mcv mais pas de services.exe :\

[Apollo]

Bonjour,

 

Il vaudrait mieux vérifier sa présence en le cherchant dans Windows/system32.

 

Pour Avira, CF se goure, c'est pas possible qu'il soit actif en mode sans échec.

 

 

 

Windows a bien dû le réparer puisque ComboFix ne le signale plus comme infecté.

 

------------

1) Télécharger SFT.exe de Pierre13. A enregistrer absolument sur le BUREAU!

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

• Double clique (xp) sur SFT.exe.
  Clic droit sur le fichier et choisir Exécuter en tant qu’administrateur. (sous Vista/7).
  Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
   
  
   
  Un rapport va s'ouvrir à la fin.
   
  Le rapport se trouve sur le bureau (SFT.txt)

 

>>Le rapport est très long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.<<

 

Compatible avec XP, Windows Vista et Windows 7 en 32 et 64 bits.

 

 

--------------------------

 

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Kroala]

Re ,

j'ai réussi a trouver services.exe, il était dans :

C:\Windows\system32\erdnt\cache64

 

voila le lien du rapport:

Rapport services.exe

 

Ensuite voila le rapport de SFT:

 

Rapport SFT

 

Le scan de MBAm est en cours, j'ai fais toutes les manip en mode sans échec vu que ça plante dans tout les sens quand je démarre normalement u_u" je m'occuperai de ce problème aprés avoir tout nettoyer ^^.

 

Merci , je poste de rapport mbam quand il est prêt !

[Apollo]

Ok,

 

Il faut que tu replaces services.exe dans Windows/system32. Tu l'as peut-être déjà fait?

 

Je ne peux pas te donner le mien car mon système est bien un seven mais j'ignore si le fichier est identique, vu que c'est une autre version que la tienne.

 

Pour créer un script pour ComboFix, il faudrait que je connaisse le chemin complet.

 

Par exemple, si le fichier services.exe est bien dans C:\Windows\system32\erdnt\cache64\services.exe , le CFScript.txt à créer serait:

 

FCopy::

 

C:\Windows\system32\erdnt\cache64\services.exe | C:\Windows\System32\services.exe

 

MAIS, c'est à confirmer! Donc j'attends ta réponse avant de composer.

++

Modifié le 27 octobre 2012 par Apollo

[Kroala]

Le fichier services.exe est présent dans systeme 32 depuis le reboot, plus la peine de le replacer.

 

Voila le rapport mbam:

 

Malwarebytes Anti-Malware 1.65.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.10.27.05

 

Windows 7 x64 NTFS (Mode sans échec/Réseau)

Internet Explorer 8.0.7600.16385

Le KRO :: LEKRO-PC [administrateur]

 

27/10/2012 14:54:22

mbam-log-2012-10-27 (14-54-22).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 550299

Temps écoulé: 1 heure(s), 27 minute(s), 27 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 7

C:\Qoobox\Quarantine\C\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\[email protected] (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.

C:\Qoobox\Quarantine\C\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\[email protected] (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

C:\Qoobox\Quarantine\C\Windows\Installer\{ada42e4e-7acd-6e55-a819-1446e059e947}\U\[email protected] (Rootkit.0Access.64) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Le KRO\Desktop\Progz\office\PARISIEN99 SMS\mini-KMS_Activator_v1.052\mini-KMS_Activator_v1.052.exe (Riskware.Keygen) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\winsxs\Temp\PendingDeletes\$$DeleteMe.services.exe.01cdb30f9dbc2170.0002 (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

C:\Windows.old\Windows\KMSEmulator.exe (RiskWare.Tool.CK) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

Avira ne semble plus détecter de fichiers infectés

[Apollo]

Parfait,

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton [suppression]

Copie tout le contenu du texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

 

Tu peux ensuite relancer DelFix et appuyer sur [Désinstaller] afin de supprimer toute trace de son utilisation.

 

----------------

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

@++