[Résolu] Virus Gendarmerie Nationale (Bis)

[Armel]

Bonsoir le forum,

 

Je suis à nouveau infecté par le virus Gendarmerie Nationale,

 

Cette fois, il est plus virulant que le précédent et semble être encore présent,

 

Cette fois, la restauration ayant échoué en mode sans échec, j'ai effectué les opérations suivantes :

 

- lancement de Roguekiller après l'avoir téléchargé en mode "sans échec avec prise en chage du réseau" : après le scan de roguekiller j'ai désélectionné les lignes de l'onglet "Registre" qui étaient à 1 et supprimé toutes les autres lignes dont celles qui comportaient les valeurs 0 et le mot "Gendarmerie"

Par contre, pendant le scan, l'option DRV en haut à droite était en fond de couleur rouge au lieu qu'il soit vert.....!!!!

 

De mémoire, il n'y avait rien dans les autres onglets de Roguekiller

 

- j'ai ensuite téléchargé et lancé AdwCleaner,

 

- j'ai téléchargé et lancé Combofix,

 

Puis j'ai désinstallé ces 3 applications entre temps,

 

 

- j'ai lancé ZHPDiag mais je ne sais pas trop comment l'utiliser...!!!

 

- Et actuellement, je scan avec MBAM qui va prendre encore un certain temps,

 

Résultat des courses, je parviens à accéder à mon bureau par contre la restauration ne trouve aucun "point de restauration" et IE9 est assez lent voire ne répond pas où se bloque sauf en mode sans échec....!!!

 

Je crains qu'il y ait encore une infection...!!

 

Pouvez-vous svp m'aider à analyser dans les rapports ??

 

Par contre j'aurais besoin de vos conseils pour relancer les analyses proprement...

 

Merci d'avance

Modifié le 18 novembre 2012 par Armel

[pear]

Bonsoir,

 

j'aurais besoin de vos conseils pour relancer les analyses proprement...

 

Il eut été préférable de commencer par cela au lieu de vous lancer dans une automédication.

 

Postez les rapports des outils utilisés.

[Armel]

Bonsoir Pear,

 

Je suis totalement d'accor avec votre réponse à savoir de demander d'abord conseils...avant d'agir quand on est pas sur de ce que l'on fait surtout,

 

Je poste un 1er rapport de ZHPDiag qui n'est bizarrement pas trés fourni...!!

 

Je l'ai récupéré directement sous C:/ZHP,

 

Est-ce qu'il s'agit du bon rapport ??

 

Désolé de le poster directement sur le forum mais j'ai comme un problème avec ci-joint qui ne veut pas copier coller dans la balise du forum en mode sans échec....

 

Rapport de ZHPDiag v1.31.39 par Nicolas Coolman, Update du 09/11/2012

Run by Armel at 18/11/2012 19:23:19

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

State : Version à jour.

UAC : Not Found or deactivate by user

 

Boot mode: Sans échec avec prise en charge du réseau (Fail-safe with network boot)

Logged in as Administrator

 

 

---\\ Web Browser

MSIE: Internet Explorer v9.0.8112.16421 (Defaut)

 

---\\ Processus lancés

[MD5.300F9215FCE15E1CC5DA78C9AD4BBE2E] - (...) -- C:\Program Files (x86)\ZHPDiag\ZHPDiag.exe [3770368] [PID.1616]

~ Scan Processes Running in 00mn 00s

 

 

 

---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)

P2 - FPN:Firefox Plugin Navigator . (.Adobe Systems Inc. - Adobe PDF Plug-In For Firefox and Netscape 10.1.3.) -- C:\Program Files (x86)\Mozilla Firefox\Plugins\nppdf32.dll

P2 - FPN: [HKLM] [@adobe.com/FlashPlayer] - (...) -- C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_287.dll

P2 - FPN: [HKLM] [@Microsoft.com/NpCtrl,version=1.0] - (. Microsoft Corporation - 5.1.10411.0.) -- C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll

P2 - FPN: [HKLM] [@microsoft.com/OfficeAuthz,version=14.0] - (.Microsoft Corporation - Office Authorization plug-in for NPAPI browsers.) -- C:\Program Files\Microsoft Office\Office14\NPAUTHZ.dll

~ Scan Firefox Browser in 00mn 00s

 

 

 

---\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)

R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Search Microsoft.com

R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail.fr, Messenger, Skype, Actualité, Sport, People, Femmes - MSN France

R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Microsoft Corporation

R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Microsoft Corporation

R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:noadd-ons

R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:securityrisk

R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Extensions Off Page = about:noadd-ons

R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Security Risk Page = about:securityrisk

R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Bing

R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search,SearchAssistant = Bing

R3 - URLSearchHook: (no name) [64Bits] - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Office Authorization plug-in for NPAPI browsers.) (No version) -- (.not file.)

R4 - HKLM\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,EnabledV8 = 1

R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 2

R4 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\PhishingFilter,EnabledV8 = 1

~ Scan IE Browser in 00mn 00s

 

 

 

---\\ Internet Explorer, Proxy Management (R5)

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = no key

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 0

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,EnableHttp1_1 = 1

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyHttp1.1 = 1

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigProxy = wininet.dll

~ Scan Proxy management in 00mn 00s

 

 

 

---\\ Modification d'une valeur Ini (Changed inifile value, mapped to Registry) (F2)

F2 - REG:system.ini: USERINIT=C:\Windows\system32\userinit.exe,

F2 - REG:system.ini: Shell=C:\Windows\explorer.exe

F2 - REG:system.ini: VMApplet=C:\Windows\System32\SystemPropertiesPerformance.exe

~ Scan Keys in 00mn 00s

 

 

 

---\\ Internet Explorer Toolbars (O3)

O3 - Toolbar: (no name) [64Bits] - [HKLM]{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} . (...) -- (.not file.)

O3 - Toolbar: (no name) [64Bits] - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (...) -- (.not file.)

~ Scan Toolbar in 00mn 00s

 

 

 

---\\ Applications démarrées par registre & par dossier (O4)

O4 - HKLM\..\Run: [NvCplDaemon] . (.NVIDIA Corporation - NVIDIA Display Properties Extension.) -- C:\Windows\system32\NvCpl.dll

O4 - HKLM\..\Run: [AmIcoSinglun64] . (.AlcorMicro Co., Ltd. - Single LUN Icon Utility for VID 058F PID 63.) -- C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe

O4 - HKLM\..\Run: [ETDWare] . (.ELAN Microelectronic Corp. - ETD Control Center.) -- C:\Program Files\Elantech\ETDCtrl.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] . (.Acronis - Acronis Scheduler Helper.) -- C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe

O4 - HKCU\..\Run: [Connexion SFR 9props.exe] . (.SFR - Propriétés de la connexion SFR.) -- C:\Program Files (x86)\SFR\Kit\9props.exe

O4 - HKLM\..\Wow6432Node\Run: [MDS_Menu] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\Cyberlink\MediaShowEspresso\MUITransfer\MUIStartMenu.exe

O4 - HKLM\..\Wow6432Node\Run: [updatePDRShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\Cyberlink\PowerDirector\MUITransfer\MUIStartMenu.exe

O4 - HKLM\..\Wow6432Node\Run: [RemoteControl9] . (.CyberLink Corp. - PowerDVD RC Service.) -- C:\Program Files (x86)\Cyberlink\PowerDVD9\PDVD9Serv.exe

O4 - HKLM\..\Wow6432Node\Run: [PDVD9LanguageShortcut] . (.CyberLink Corp. - PowerDVD Language Application.) -- C:\Program Files (x86)\Cyberlink\PowerDVD9\Language\Language.exe

O4 - HKLM\..\Wow6432Node\Run: [updatePSTShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\Cyberlink\DVD Suite\MUITransfer\MUIStartMenu.exe

O4 - HKLM\..\Wow6432Node\Run: [updateLBPShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe

O4 - HKLM\..\Wow6432Node\Run: [updateP2GoShortCut] . (.CyberLink Corp. - MUI StartMenu Application.) -- C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe

O4 - HKLM\..\Wow6432Node\Run: [HControlUser] . (.ASUS - HControlUser.) -- C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe

O4 - HKLM\..\Wow6432Node\Run: [ATKMEDIA] . (.ASUS - ATK Media.) -- C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe

O4 - HKLM\..\Wow6432Node\Run: [ATKOSD2] . (.ASUS - ATKOSD2.) -- C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe

O4 - HKLM\..\Wow6432Node\Run: [AdobeCS4ServiceManager] . (.Adobe Systems Incorporated - Adobe CS4 Service Manager.) -- C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe

O4 - HKLM\..\Wow6432Node\Run: [Adobe Acrobat Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe

O4 - HKLM\..\Wow6432Node\Run: [Acrobat Assistant 8.0] . (.Adobe Systems Inc. - AcroTray.) -- C:\Program Files (x86)\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe

O4 - HKLM\..\Wow6432Node\Run: [Adobe_ID0ENQBO] . (.Adobe Systems Incorporated - Adobe Version Cue CS4.) -- C:\Program Files (x86)\Common Files\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4Tray.exe

O4 - HKLM\..\Wow6432Node\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe

O4 - HKLM\..\Wow6432Node\Run: [Microsoft Default Manager] . (.Microsoft Corporation - Microsoft Default Manager.) -- C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe

O4 - HKLM\..\Wow6432Node\Run: [bonus.SSR.FR11] . (.ABBYY. - ABBYY ScreenshotReader.) -- C:\Program Files (x86)\ABBYY FineReader 11\Bonus.ScreenshotReader.exe

O4 - HKLM\..\Wow6432Node\Run: [PDFHook] . (.Nuance Communications, Inc. - PdfCreate7Hook.exe.) -- C:\Program Files (x86)\Nuance\PDF Create 7\pdfcreate7hook.exe

O4 - HKLM\..\Wow6432Node\Run: [PDF7 Registry Controller] . (.Nuance Communications, Inc. - REGISTRYCONTROLLER.EXE.) -- C:\Program Files (x86)\Nuance\PDF Create 7\RegistryController.exe

O4 - HKLM\..\Wow6432Node\Run: [bCSSync] . (.Microsoft Corporation - Microsoft Office 2010 component.) -- C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe

O4 - HKLM\..\Wow6432Node\Run: [avgnt] . (.Avira Operations GmbH & Co. KG - Avira System Tray Tool.) -- C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe

O4 - HKUS\S-1-5-21-1883889223-2537772362-393943498-1001\..\Run: [Connexion SFR 9props.exe] . (.SFR - Propriétés de la connexion SFR.) -- C:\Program Files (x86)\SFR\Kit\9props.exe

~ Scan Application in 00mn 00s

 

 

 

---\\ Autres liens utilisateurs (O4)

O4 - Global Startup: C:\Users\Armel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk . (.Microsoft Corporation.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe

O4 - Global Startup: C:\Users\Armel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk . (.Microsoft Corporation.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Acronis True Image Home 2009.lnk . (.Acronis.) -- C:\Program Files (x86)\Acronis\TrueImageHome\TrueImage.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Adobe Illustrator CS4.lnk . (.Adobe Systems Inc..) -- C:\Program Files (x86)\Adobe\Adobe Illustrator CS4\Support Files\Contents\Windows\Illustrator.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Adobe InDesign CS4.lnk . (.Adobe Systems Incorporated.) -- C:\Program Files (x86)\Adobe\Adobe InDesign CS4\InDesign.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Apprendre Adobe Acrobat X.lnk . (.Adobe Systems, Inc..) -- G:\Apprendre Adobe Acrobat X\elephorm.exe

O4 - Global Startup: C:\Users\Armel\Desktop\ASUS Video Magic.lnk . (.CyberLink.) -- C:\Program Files (x86)\CyberLink\DVD Suite\PowerStarter.exe

O4 - Global Startup: C:\Users\Armel\Desktop\CVitae V4.lnk . (...) -- C:\Program Files (x86)\CVitaeV4\CVitae.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Free FLV Converter.lnk . (.Koyote Soft.) -- C:\Program Files (x86)\Free FLV Converter\FreeFLVConverter.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Google SketchUp 8.lnk . (.Google, Inc..) -- C:\Program Files (x86)\Google\Google SketchUp 8\SketchUp.exe

O4 - Global Startup: C:\Users\Armel\Desktop\IE8 InPrivate.lnk . (.Microsoft Corporation.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe

O4 - Global Startup: C:\Users\Armel\Desktop\LogoMaker.lnk . (.Studio V5 Corp..) -- C:\Program Files (x86)\Studio V5\LogoMaker\LogoMaker.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Note De Frais.lnk . (.RCA.) -- C:\Program Files (x86)\RCA\NoteDeFrais\NoteDeFrais.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Plus de 500 modèles pour Office.lnk . (.Micro Application.) -- C:\Program Files (x86)\Micro Application\Plus de 500 modèles pour Office\AppOffice.exe

O4 - Global Startup: C:\Users\Armel\Desktop\RAR Password Recovery Magic.lnk . (. Password Recovery Magic Studio Ltd..) -- C:\Program Files (x86)\RAR Password Recovery Magic\RarRecover.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Revo Uninstaller.lnk . (.VS Revo Group.) -- C:\Program Files (x86)\VS Revo Group\Revo Uninstaller\Revouninstaller.exe

O4 - Global Startup: C:\Users\Armel\Desktop\Transformer.exe - Raccourci.lnk . (.ABBYY.) -- C:\Program Files (x86)\ABBYY PDF Transformer 3.0\Transformer.exe

O4 - Global Startup: C:\Users\Armel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk . (.Microsoft Corporation.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe

O4 - Global Startup: C:\Users\Armel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Microsoft Outlook.lnk . (.Microsoft Corporation.) -- C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE

O4 - Global Startup: C:\Users\Armel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Snagit 10.lnk . (.TechSmith Corporation.) -- C:\Program Files (x86)\TechSmith\Snagit 10\Snagit32.exe

~ Scan Global Startup in 00mn 00s

 

 

 

---\\ Invisibilité de l'icône d'options IE dans le panneau de Configuration (O5)

O5 - control.ini: [HKLM\..\Control Panel] inetcpl.cpl=no

~ Scan IE Control Panel in 00mn 00s

 

 

 

---\\ Boutons situés sur la barre d'outils principale d'Internet Explorer (O9)

O9 - Extra button: &Envoyer à OneNote [64Bits] - {2670000A-7350-4f3c-8081-5663EE0C6C49} -- C:\Program Files (x86)\MICROS~2\Office14\ONBttnIE.dll (.not file.)

O9 - Extra button: Notes &liées OneNote [64Bits] - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} -- C:\Program Files (x86)\MICROS~2\Office14\ONBTTN~1.dll (.not file.)

O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 [64Bits] - {CCA281CA-C863-46ef-9331-5C8D4460577F} . (...) -- C:\Program Files\WIDCOMM\Bluetooth Software\bt_hot_icon.ico

~ Scan IE Extra Buttons in 00mn 00s

 

 

 

---\\ Winsock hijacker (Layered Service Provider) (O10)

O10 - WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\Windows\system32\mswsock.dll

O10 - WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation - Fournisseur Shim d’affectation de noms de messagerie.) -- C:\Windows\system32\napinsp.dll

O10 - WLSP:\000000000003\Winsock LSP File . (.Microsoft Corporation - Fournisseur d’espace de noms PNRP.) -- C:\Windows\system32\pnrpnsp.dll

O10 - WLSP:\000000000004\Winsock LSP File . (.Microsoft Corporation - Fournisseur d’espace de noms PNRP.) -- C:\Windows\system32\pnrpnsp.dll

O10 - WLSP:\000000000005\Winsock LSP File . (.Microsoft Corporation - Windows Sockets Helper DLL.) -- C:\Windows\system32\wshbth.dll

O10 - WLSP:\000000000006\Winsock LSP File . (.Microsoft Corporation - Fournisseur de service Sockets 2.0 de Microsoft Windows.) -- C:\Windows\system32\mswsock.dll

O10 - WLSP:\000000000007\Winsock LSP File . (.Microsoft Corporation - LDAP RnR Provider DLL.) -- C:\Windows\system32\winrnr.dll

O10 - WLSP:\000000000008\Winsock LSP File . (.Microsoft Corp. - Microsoft® Windows Live ID Namespace Provider.) -- C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.dll

O10 - WLSP:\000000000009\Winsock LSP File . (.Microsoft Corp. - Microsoft® Windows Live ID Namespace Provider.) -- C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.dll

~ Scan Winsock in 00mn 00s

 

 

 

---\\ Objets ActiveX (Downloaded Program Files)(O16)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

~ Scan Objets ActiveX in 00mn 00s

 

 

 

---\\ Modification Domaine/Adresses DNS (O17)

O17 - HKLM\System\CCS\Services\Tcpip\..\{0324639D-0330-4528-9A99-0F3578C92A1B}: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{0324639D-0330-4528-9A99-0F3578C92A1B}: DhcpNameServer = 192.168.1.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{0324639D-0330-4528-9A99-0F3578C92A1B}: DhcpNameServer = 192.168.1.1

~ Scan Domain in 00mn 00s

 

 

 

---\\ Protocole additionnel (O18)

O18 - Handler: about [64Bits] - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} . (.Microsoft Corporation - Visionneuse HTML Microsoft ®.) -- C:\Windows\System32\mshtml.dll

O18 - Handler: cdl [64Bits] - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} . (.Microsoft Corporation - Extensions OLE32 pour Win32.) -- C:\Windows\system32\urlmon.dll

O18 - Handler: dvd [64Bits] - {12D51199-0DB5-46FE-A120-47A3D7D937CC} . (.Microsoft Corporation - Contrôle ActiveX pour le flux vidéo.) -- C:\Windows\System32\msvidctl.dll

O18 - Handler: file [64Bits] - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} . (.Microsoft Corporation - Extensions OLE32 pour Win32.) -- C:\Windows\system32\urlmon.dll

O18 - Handler: ftp [64Bits] - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} . (.Microsoft Corporation - Extensions OLE32 pour Win32.) -- C:\Windows\system32\urlmon.dll

O18 - Handler: http [64Bits] - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} . (.Microsoft Corporation - Extensions OLE32 pour Win32.) -- C:\Windows\system32\urlmon.dll

O18 - Handler: https [64Bits] - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} . (.Microsoft Corporation - Extensions OLE32 pour Win32.) -- C:\Windows\system32\urlmon.dll

O18 - Handler: its [64Bits] - {9D148291-B9C8-11D0-A4CC-0000F80149F6} . (.Microsoft Corporation - Microsoft® InfoTech Storage System Library.) -- C:\Windows\System32\itss.dll

O18 - Handler: javascript [64Bits] - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} . (.Microsoft Corporation - Visionneuse HTML Microsoft ®.) -- C:\Windows\System32\mshtml.dll

O18 - Handler: livecall [64Bits] - {828030A1-22C1-4009-854F-8E305202313F} . (.Microsoft Corporation - Windows Live Messenger Protocol Handler Mod.) -- C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll

O18 - Handler: local [64Bits] - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} . (.Microsoft Corporation - Extensions OLE32 pour Win32.) -- C:\Windows\system32\urlmon.dll

O18 - Handler: mailto [64Bits] - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} . (.Microsoft Corporation - Visionneuse HTML Microsoft ®.) -- C:\Windows\System32\mshtml.dll

O18 - Handler: mhtml [64Bits] - {05300401-BCBC-11d0-85E3-00C04FD85AB4} . (.Microsoft Corporation - Microsoft Internet Messaging API Resources.) -- C:\Windows\system32\inetcomm.dll

O18 - Handler: mk [64Bits] - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} . (.Microsoft Corporation - Extensions OLE32 pour Win32.) -- C:\Windows\system32\urlmon.dll

O18 - Handler: ms-help [64Bits] - {314111c7-a502-11d2-bbca-00c04f8ec294} . (.Microsoft Corporation - Microsoft® Help Data Services Module.) -- C:\Program Files (x86)\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Handler: ms-its [64Bits] - {9D148291-B9C8-11D0-A4CC-0000F80149F6} . (.Microsoft Corporation - Microsoft® InfoTech Storage System Library.) -- C:\Windows\System32\itss.dll

O18 - Handler: msnim [64Bits] - {828030A1-22C1-4009-854F-8E305202313F} . (.Microsoft Corporation - Windows Live Messenger Protocol Handler Mod.) -- C:\Program Files (x86)\Windows Live\Messenger\msgrapp.dll

O18 - Handler: res [64Bits] - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} . (.Microsoft Corporation - Visionneuse HTML Microsoft ®.) -- C:\Windows\System32\mshtml.dll

O18 - Handler: tv [64Bits] - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} . (.Microsoft Corporation - Contrôle ActiveX pour le flux vidéo.) -- C:\Windows\System32\msvidctl.dll

O18 - Handler: vbscript [64Bits] - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} . (.Microsoft Corporation - Visionneuse HTML Microsoft ®.) -- C:\Windows\System32\mshtml.dll

O18 - Handler: wlmailhtml [64Bits] - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} . (.Microsoft Corporation - Windows Live Mail.) -- C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll

O18 - Handler: wlpg [64Bits] - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} . (.Microsoft Corporation - Windows Live Album Download Protocol Handle.) -- C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

O18 - Filter: application/octet-stream [64Bits] - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} . (.Microsoft Corporation - Microsoft .NET Runtime Execution Engine.) -- C:\Windows\System32\mscoree.dll

O18 - Filter: application/x-complus [64Bits] - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} . (.Microsoft Corporation - Microsoft .NET Runtime Execution Engine.) -- C:\Windows\System32\mscoree.dll

O18 - Filter: application/x-msdownload [64Bits] - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} . (.Microsoft Corporation - Microsoft .NET Runtime Execution Engine.) -- C:\Windows\System32\mscoree.dll

O18 - Filter: text/xml [64Bits] - {807573E5-5146-11D5-A672-00B0D022E945} . (.Microsoft Corporation - Microsoft Office XML MIME Filter.) -- C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.dll

~ Scan Protocole Additionnel in 00mn 00s

 

 

 

---\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSO/SSODL) (O21)

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation - Contrôleur de site Web.) -- C:\Windows\System32\webcheck.dll

~ Scan SSODL in 00mn 00s

 

 

 

---\\ Liste des services NT non Microsoft et non désactivés (O23)

O23 - Service: ABBYY FineReader 11 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.11.0) . (.ABBYY - ABBYY network license server.) - C:\Program Files (x86)\ABBYY FineReader 11\NetworkLicenseServer.exe

O23 - Service: ABBYY PDF Transformer 3.0, Service de Ge (ABBYY.Licensing.PDFTransformer.Classic.3.0) . (.ABBYY - ABBYY network license server.) - C:\Program Files (x86)\ABBYY PDF Transformer 3.0\NetworkLicenseServer.exe

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) . (.Acronis - Acronis Scheduler 2.) - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) . (.Adobe Systems Incorporated - Adobe Acrobat Update Service.) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: AFBAgent (AFBAgent) . (.ASUSTeK Computer Inc. - ASUS FastBoot.) - C:\Windows\system32\FBAgent.exe

O23 - Service: Avira Planificateur (AntiVirSchedulerService) . (.Avira Operations GmbH & Co. KG - Avira Scheduler.) - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira Protection temps réel (AntiVirService) . (.Avira Operations GmbH & Co. KG - Avira On-Access Service.) - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe

O23 - Service: ASLDR Service (ASLDRService) . (.ASUS - ASLDR Service.) - C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe

O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) . (.Pas de propriétaire - GFNEXSrv.) - C:\Program Files\ATKGFNEX\GFNEXSrv.exe

O23 - Service: Bluetooth Service (btwdins) . (.Broadcom Corporation. - Bluetooth Support Server.) - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe

O23 - Service: Service Google Update (gupdate) (gupdate) . (.Google Inc. - Programme d'installation de Google.) - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) . (.NVIDIA Corporation - NVIDIA Driver Helper Service, Version 186.3.) - C:\Windows\system32\nvvsvc.exe

O23 - Service: Oberon Media Game Console service (OberonGameConsoleService) . (.Pas de propriétaire - OberonGameConsoleService.) - C:\Program Files (x86)\Asus\Game Park\GameConsole\OberonGameConsoleService.exe

O23 - Service: (WMPNetworkSvc) . (...) - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (.not file.)

~ Scan Services in 00mn 00s

 

 

 

---\\ Enumération Active Desktop & MHTML Editor (O24)

O24 - Default MHTML Editor: Last - .(...) - (.not file.)

~ Scan Desktop Component in 00mn 00s

 

 

 

End of the scan (235 lines in 00mn 00s)(0)

 

 

 

 

 

 

Merci d'avance

 

Cordialement

Modifié le 18 novembre 2012 par Armel

[pear]

Est-ce qu'il s'agit du bon rapport ??

 

Non, il est bien trop court.

 

Je vous ai demandé les rapports des outils que vous avez utilisés.

Vous ne les avez pas ?

[Armel]

Bonjour pear,

 

je crois que c'est tout ce qui me reste comme rapport obtenu avec Hijackthis,

 

Je ne sais pas si je l'ai lancé correctement....

 

J'avais supprimé tous les programmes de désinfection avec l'outil DelFix....qui m'a donc désinstallé Hijackthis, Adwcleaner, Kaspersky et Roguekiller,

 

Certainement que les rapports sont supprimés en même temps...!!

 

Le mieux c'est de tout recommencer à zéro avec l'aide d'un professionnel,

 

P.S : dans un tutoriel concernant Roguekiller, une derniére étape évoquée était de de "killer IE" donc internet explorer, je n'ai pas éxécuté cette opération et je ne sais pas s'il faut passer par là....!!

Je n'ai pas également supprimé volontairement 4 fichiers avec la valeur 1 dans le registre examiné par Roguekiller pensant que ça pouvait être des faux positifs : de mémoire c'était un nom du genre C:/User/desktop/....HidenIcons/Panel...

Et j'ai supprimé des lignes comportant les mots ZEROACCESS, Gendarmerie,

 

Sinon, j'aurais besoin de suivre toutes vos instructions pour résoudre ce gros problème,

 

Pour résumer, la page Gendarmerie Nationale a disparu suite à Roguekiller, mais quasiment aucun programme ne répond en mode normal (IE se bloque,les fichiers PDF également ou a du mal à s'ouvrir, c'est assez lent dans l'ensemble)

 

En mode sans échec, IE ne pose pas de problème et les autres programmes semblent fonctionner presque correctement...)

 

Les logociels MBAM et Avira que j'ai lancés en mode normal n'ont rien trouvé....

 

Merci d'avance pour votre aide

 

Cordialement

Modifié le 19 novembre 2012 par Armel

[Armel]

Rebonsoir,

 

Je suis tombé sur une de vos récentes instruction pour utiliser et poster un rapport Hijackthis,

 

Je pense que celui-ci que je viens de créer est complet,

 

Je vous le poste ci-dessous,

 

Mon lien

 

P.S : C'est bizarre, j'espère que le lien ci-dessus fonctionne mais je n'ai pas l'impression, et avec ci-joint.com encore moins.....!!!

 

Oups je n'avais posté le lien du rapport mais le lien du site Malekal, ci-dessous le bon lien,

 

Mon lien2

 

Merci d'avance

 

Cordialement

Modifié le 19 novembre 2012 par Armel

[pear]

On repart à zéro , comme si vous n'aviez rien fait.

 

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

((Lignes à décocher:celles que vous avez volontairement modifiées)

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des index)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Il y aura 6 rapports à poster

 

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]

O42 - Logiciel: Boxore Client - (.Boxore OU.) [HKLM][64Bits] -- {B029999A-5688-430C-9FD6-59BAD2E01FF5} => Infection Diverse (Adware.Boxore)

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

Proxyfix

Hostfix

 

Cliquer sur "Go" |2]

 

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]

Redémarrer pour achever le nettoyage.

Un rapport apparait, à poster

 

Modifié le 19 novembre 2012 par pear

[Armel]

Merci pear,

 

En complément du rapport ZHPDiag posté dans mon précédent message, je vous joins également le rapport ZHPFix,

 

Je vais relancer Roguekiller comme demandé,

 

Je reviendrais vers vous à la fin des rapports,

 

Merci encore

 

============================

 

Rapport de ZHPFix 1.3.07 par Nicolas Coolman, Update du 13/11/2012

Fichier d'export Registre :

Run by Armel at 19/11/2012 19:05:00

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

 

 

 

========== Logiciel(s) ==========

SUPPRIME Boxore Client

 

========== Clé(s) du Registre ==========

SUPPRIME [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B029999A-5688-430C-9FD6-59BAD2E01FF5}]

 

========== Valeur(s) du Registre ==========

ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

ProxyFix : Configuration proxy supprimée avec succès

SUPPRIME ProxyServer Value

SUPPRIME ProxyEnable Value

SUPPRIME EnableHttp1_1 Value

SUPPRIME ProxyHttp1.1 Value

SUPPRIME ProxyOverride Value

 

========== Dossier(s) ==========

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Fichier(s) ==========

SUPPRIME Flash Cookies:

SUPPRIME Temporaires Windows:

 

========== Restauration Système ==========

Point de restauration non crée

 

 

========== Récapitulatif ==========

1 : Clé(s) du Registre

10 : Valeur(s) du Registre

2 : Dossier(s)

2 : Fichier(s)

1 : Logiciel(s)

1 : Restauration Système

 

 

End of clean in 00mn 29s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 19/11/2012 19:05:11 [1411]

 

Cordialement

[Armel]

pear,

 

Voici, 5 rapports que j'ai obtenus avec Roguekiller,

 

Je n'ai pas éxécuté la suppression car il m'a trouvé à nouveau les 4 fichiers avec la valeur 1 dans le registre, sinon l'onglet "Driver" était vide donc je n'ai rien fait,

 

Ce qui est anormal c'est qu'il ne charge aucun Driver d'où je pense le bouton "Option" en haut en couleur rouge alors qu'il devrait être vert....!!!

 

Je n'ai pas démarré MBAM encore mais je l'avais lancé hier et il n'avait rien trouvé...je le relancerai en mode sans echec après mon message,

 

Après ces opérations je suis retourné en mode normal et le problème de lenteur d'IE notamment demeure...sans qu'il me trouve le site que je demande....!!

 

J'ai remarqué que dans le rapport Hijackthis, des lignes concernant IE notamment mentionnent C:\Windows\System32\ie4uinit.exe(.not file.), comme pour beaucoup d'autres programmes...

 

Est-ce que IE et d'autres programmes ont été endommagés ???

 

Merci

 

Rapports Rogukiller :

 

Mon lien_Roguekille_1

 

Mon lien_Roguekille_2

 

Mon lien_Roguekiller_3

 

Mon lien_Roguekiller_4

 

Mon lien_Roguekiller_5

Modifié le 19 novembre 2012 par Armel

[pear]

Je n'ai pas éxécuté la suppression car il m'a trouvé à nouveau les 4 fichiers avec la valeur 1 dans le registre,

 

Vous avez eu tort.

S'agissant de votre machine, c'est votre droit de ne pas suivre la procédure proposée, mais alors ce sera sans moi.