Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

frima - 10.05.15 - 10:03

Bonjour

Suite a une infection avec Oursurfing j'ai utilisé malwerbite. Après ce nettoyage, j'ai perdu ma connexion internet qui est limitee ou inexisante.
Configuration : portable sous XP SP3 + freebox.
Tous les autres appareils connectés fonctionnent normalement.
Merci d'avance pour votre aide

frima - 10.05.15 - 10:16

je viens de réaliser un "netsh winsock reset" et j'obtiens impossible e reinitialiser le catalogue winsock.
Accés refuse.

frima - 10.05.15 - 10:23

nouveauté, je n'ai plus de connexion limitee mais une IP attribuee par le serveur DHCP qui n'est pas dans ma plage d'adresse freebox : 169.254.84.168 ?
Firefox et Chrome ne fonctionnent toujours pas.

Tonton - 10.05.2015 - 10:32

Regroupement des messages.
Ne pas cumuler les Posts en démarrage de sujet, avant d'avoir été pris en charge. Ceci induit les Helpers en erreur, en leur donnant l'impression qu'une prise en charge a déjà été effectuée par l'un des leurs.
Utilise plutôt le bouton [Modifier] situé en bas à droite de ton premier message.

Posté(e)

Bonjour,

 

1) Essaie ceci (pour xp uniquement)

 

http://www.vista-xp.fr/forum/topic276.html#p707

 

-----------------

2) Créer un point de restauration "en un clic": : http://www.vista-xp.fr/forum/topic13660.html#p114706

 

 

Télécharger ZHPcleaner de Nicolas Coolman: http://www.nicolascoolman.fr/download/zhpcleaner/ sur le bureau.

 

Il ne nécessite aucune installation.

 

 

Le lancer par double-clic sous XP et par clic droit/exécuter en temps qu'administrateur sous Windows Vista/7/8.

 

Cliquer sur Scanner puis sur Nettoyer.

 

Le rapport de réparation sera généré sur le bureau: poste-le dans ta réponse stp.

 

 

31-03-2015-22-40-15-4a9ae6e.jpg

 

@++

  • Upvote 1
Posté(e)

Bonjour Apollo

 

Merci pour ta prise en charge

 

j'ai réalisé les opérations demandées, mais la situation est revenue à la situation initiale : connexion limitée ou inexistante.

 

Ci-dessous le rapport :

~ ZHPCleaner v2015.5.10.222 by Nicolas Coolman (10/05/2015)

~ Run by gestion (Administrator) (10/05/2015 18:21:40)

~ Forum : http://forum.nicolascoolman.fr

~ Facebook : https://www.facebook.com/nicolascoolman1

~ State version : Pas de fichier réseau

~ Type : Netttoyer

~ Report : C:\Documents and Settings\gestion.ADMINISTRATION\Bureau\ZHPCleaner.txt

~ Quarantine : C:\Documents and Settings\gestion.ADMINISTRATION\Application Data\ZHP\ZHPCleaner_Quarantine.txt

~ UAC : Deactivate

~ Boot Mode : Normal (Normal boot)

~ Windows XP, 32-bit Service Pack 3 (Build 2600)

 

 

---\\ Service. (6)

WINSOCK [Protocol_Catalog9\Catalog_Entries]: Remise à zéro du socket qui gère la couche TCP/IP (Hijacker.Winsock)

SUPPRIMÉ : HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 (Hijacker.Winsock)

SUPPRIMÉ : HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002 (Hijacker.Winsock)

SUPPRIMÉ : HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000027 (Hijacker.Winsock)

SUPPRIMÉ : MYOSPROTECT (PUP.MyOSProtect)

SUPPRIMÉ : pcwatch (PUP.MyOSProtect)

 

 

---\\ Navigateur internet. (3)

SUPPRIMÉ donnée: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyHttp1.1 [bad : 1] (Hijacker.Proxy)

SUPPRIMÉ donnée: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride [bad : <local>] (Hijacker.Proxy)

SUPPRIMÉ donnée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyHttp1.1 [bad : 1] (Hijacker.Proxy)

 

 

---\\ Fichier hôte. (1)

~ Le fichier hôte est légitime. (19)

 

 

---\\ Tâche planifiée. (0)

~ Aucun élément malicieux trouvé.

 

 

---\\ Explorateur ( Dossiers, Fichiers ). (13)

DEPLACÉ fichier: C:\Documents and Settings\gestion.ADMINISTRATION\Application Data\inst.exe (Adware.Pirrit)

DEPLACÉ fichier^: C:\WINDOWS\system32\Drivers\pcwatch.sys (PUP.MyOSProtect)

DEPLACÉ dossier: C:\Program Files\Web Protect (PUP.WebProtect)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Application Data\cacaoweb (PUP.CacaoWeb)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Application Data\Babylon (PUP.Babylon)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Application Data\Systweak (PUP.Systweak)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Application Data\Store (PUP.Nosibay)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Application Data\Nosibay (Adware.SPointer)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Mes documents\Optimizer Pro (PUP.OptimizerPro)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Local Settings\Application Data\CrashRpt (SUP.CrashReports)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Local Settings\Application Data\Duuqu (PUP.Duuqu)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Local Settings\Application Data\globalUpdate (PUP.GlobalUpdate)

DEPLACÉ dossier: C:\Documents and Settings\gestion.ADMINISTRATION\Local Settings\Application Data\StormFall (Adware.StormFall)

 

 

---\\ Base de Registres ( Clés, Valeurs, Données ). (44)

REMPLACÉ donnée: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\DefaultScope \\\{6F0DF289-AD53-495B-938F-31B2FCBDE005} (Hijacker.SearchScopes)

REMPLACÉ : HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 [C:\WINDOWS\system32\MyOSProtect.dll (Not File)] (Hijacker.Winsock)

REMPLACÉ : HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002 [C:\WINDOWS\system32\MyOSProtect.dll (Not File)] (Hijacker.Winsock)

REMPLACÉ : HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000027 [C:\WINDOWS\system32\MyOSProtect.dll (Not File)] (Hijacker.Winsock)

SUPPRIMÉ clé^: HKLM\SYSTEM\CurrentControlSet\Services\MYOSPROTECT [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SYSTEM\CurrentControlSet\Services\pcwatch [C:\WINDOWS\system32\Drivers\pcwatch.sys] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SYSTEM\CurrentControlSet\Services\pcwatch [C:\WINDOWS\system32\Drivers\pcwatch.sys] (PUP.WebProtect)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YourFileDownloader Installer Starter ["C:\DOCUME~1\GESTIO~1.ADM\LOCALS~1\Temp\YourFileDownloaderxsy2xu0uUL.exe" -startup (Not File)] (PUP.YourFileDownloader)

SUPPRIMÉ clé*: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{910A6F82-FC4-4616-9894-C0AFB2193BD6} [C:\Program Files\TheTorntv V10 (Not File)] (Hijacker.TornTV)

SUPPRIMÉ clé*: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9B47C783-AF49-488D-8AA6-2AB64C3AA35} [C:\Program Files\TheTorntv V10 (Not File)] (Hijacker.TornTV)

SUPPRIMÉ clé*: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B8ED6D33-FC7F-4520-9989-24A6753211C4} [C:\Program Files\TheTorntv V10 (Not File)] (Hijacker.TornTV)

SUPPRIMÉ clé*: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{FBECEF1D-EFE0-418B-9BE3-373EF892A6E8} [C:\Program Files\TheTorntv V10 (Not File)] (Hijacker.TornTV)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataContainer [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataContainer.1 [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataController [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataController.1 [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataTable [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataTable.1 [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataTableFields [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataTableFields.1 [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataTableHolder [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.DataTableHolder.1 [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.LSPLogic [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.LSPLogic.1 [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.ReadOnlyManager [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.ReadOnlyManager.1 [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.WatchDog [] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\Classes\MyOSProtectLib.WatchDog.1 [] (PUP.MyOSProtect)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Classes\SearchAssistantOC.SearchAssistantOC [] (PUP.SearchAssist)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Classes\SearchAssistantOC.SearchAssistantOC.1 [] (PUP.SearchAssist)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Classes\SrchUI.SearchAssistant [] (PUP.SearchAssist)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Classes\SrchUI.SearchAssistant.1 [] (PUP.SearchAssist)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Classes\CLSID\{2E71FD0F-AAB1-42c0-9146-6D2C4EDCF07D} [searchAssistantOC] (PUP.SearchAssist)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Classes\CLSID\{B45FF030-4447-11D2-85DE-00C04FA35C89} [searchAssistantOC] (PUP.SearchAssist)

SUPPRIMÉ clé*: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Torntv [] (Hijacker.TornTV)

SUPPRIMÉ clé*: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WebCakeUpdaterService [] (Adware.WebCake)

SUPPRIMÉ clé*: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MyOSProtect [service] (PUP.MyOSProtect)

SUPPRIMÉ clé^: HKLM\SOFTWARE\WebProtect [installed] (PUP.WebProtect)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Disk SpeedUp [Glarysoft Ltd] (PUP.DiskSpeedup)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Disk SpeedUp [] (PUP.DiskSpeedup)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DuuquUpdate.exe [] (PUP.FrameFox)

SUPPRIMÉ clé*: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Disk Defrag.exe [C:\Program Files\Glarysoft\Disk SpeedUp 5\DiskDefrag.exe] (PUP.DiskSpeedup)

SUPPRIMÉ clé: HKLM\SOFTWARE\Classes\CLSID\{2E71FD0F-AAB1-42c0-9146-6D2C4EDCF07D}\InprocServer32 [%SystemRoot%\system32\shdocvw.dll] (PUP.SearchAssist)

SUPPRIMÉ clé: HKLM\SOFTWARE\Classes\CLSID\{B45FF030-4447-11D2-85DE-00C04FA35C89}\InprocServer32 [%SystemRoot%\system32\shdocvw.dll] (PUP.SearchAssist)

 

 

---\\ Bilan de la réparation

~ Réparation réalisée avec succès.

~ Ce navigateur est absent (Opera Software)

~ Le système a été redémarré.

 

 

---\\ Statistiques

~ Items scannés : 3318

~ Items trouvés : 0

~ Items annulés : 0

~ Items réparés : 70

 

 

End of clean at 18:22:28

===================

ZHPCleaner--10052015-18_20_34.txt

ZHPCleaner-[R]-10052015-18_22_28.txt

Posté(e) (modifié)

1) Pour IE:

Va dans Panneau de configuration/Options internet.

Sélectionne l'onglet Connexion puis clique sur le bouton Paramètres réseau.

Dans la nouvelle fenêtre, sous Serveur Proxy, décoche la case Utiliser un serveur Proxy puis clique sur OK autant de fois que nécessaire pour fermer toutes les fenêtres.

 

 

Pour Firefox:

 

Sous Firefox, va dans le menu Outils/Options/Avancé/sélectionne l'onglet Réseau.

Sous la rubrique Connexion, clique sur Paramètres.

Coche la case Pas de proxy puis clique sur OK autant de fois que nécessaire pour fermer toutes les fenêtres.

 

-----------------------

 

2))

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

http://www.sur-la-toile.com/RogueKiller/

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven/8, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

Ne ferme pas la fenêtre de RogueKiller au cas où il faudrait supprimer des choses.

Modifié par Apollo
  • Upvote 1
Posté(e)

rapport de RogueKiller

V10.6.2.0 [May 4 2015] par Adlice Software

email : http://www.adlice.com/contact/

Remontées : http://forum.adlice.com

Site web : http://www.adlice.com/fr/logiciels/roguekiller/

Blog : http://www.adlice.com

 

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Démarré en : Mode normal

Utilisateur : gestion [Administrateur]

Démarré depuis : C:\Documents and Settings\gestion.ADMINISTRATION\Bureau\RogueKiller.exe

Mode : Scan -- Date : 05/10/2015 20:02:38

 

¤¤¤ Processus : 1 ¤¤¤

[PUP] (SVC) pcwatch -- \??\C:\WINDOWS\system32\Drivers\pcwatch.sys[-] -> ERROR [41c]

 

¤¤¤ Registre : 1 ¤¤¤

[PUP] \CLSID\{FB684D26-01F4-4D9D-87CB-F486BEBA56DC} -> Trouvé(e)

 

¤¤¤ Tâches : 0 ¤¤¤

 

¤¤¤ Fichiers : 0 ¤¤¤

 

¤¤¤ Fichier Hosts : 0 ¤¤¤

 

¤¤¤ Antirootkit : 28 (Driver: Chargé) ¤¤¤

[sSDT:Addr(Hook.SSDT)] NtCreateFile[37] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba441178

[sSDT:Addr(Hook.SSDT)] NtCreateKey[41] : Unknown @ 0x8ae4416c

[sSDT:Addr(Hook.SSDT)] NtCreateMutant[43] : Unknown @ 0x8ae350ec

[sSDT:Addr(Hook.SSDT)] NtCreateProcess[47] : Unknown @ 0x8ac4a38c

[sSDT:Addr(Hook.SSDT)] NtCreateProcessEx[48] : Unknown @ 0x8ae4bbb4

[sSDT:Addr(Hook.SSDT)] NtCreateSymbolicLinkObject[52] : Unknown @ 0x8ad18534

[sSDT:Addr(Hook.SSDT)] NtCreateThread[53] : Unknown @ 0x8ae3516c

[sSDT:Addr(Hook.SSDT)] NtDeleteFile[62] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba44110c

[sSDT:Addr(Hook.SSDT)] NtDeleteKey[63] : Unknown @ 0x8ad89804

[sSDT:Addr(Hook.SSDT)] NtDeleteValueKey[65] : Unknown @ 0x8ae35304

[sSDT:Addr(Hook.SSDT)] NtDuplicateObject[68] : Unknown @ 0x8ad184f4

[sSDT:Addr(Hook.SSDT)] NtLoadDriver[97] : Unknown @ 0x8ae3512c

[sSDT:Addr(Hook.SSDT)] NtOpenFile[116] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba44124e

[sSDT:Addr(Hook.SSDT)] NtOpenKey[119] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba441aea

[sSDT:Addr(Hook.SSDT)] NtOpenProcess[122] : Unknown @ 0x8ad4816c

[sSDT:Addr(Hook.SSDT)] NtOpenSection[125] : Unknown @ 0x8ae352c4

[sSDT:Addr(Hook.SSDT)] NtQueryDirectoryFile[145] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba4414b4

[sSDT:Addr(Hook.SSDT)] NtRenameKey[192] : Unknown @ 0x8ac54acc

[sSDT:Addr(Hook.SSDT)] NtRestoreKey[204] : Unknown @ 0x8ac54a8c

[sSDT:Addr(Hook.SSDT)] NtSetInformationFile[224] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba440f46

[sSDT:Addr(Hook.SSDT)] NtSetSystemInformation[240] : Unknown @ 0x8ad18574

[sSDT:Addr(Hook.SSDT)] NtSetValueKey[247] : Unknown @ 0x8ad89844

[sSDT:Addr(Hook.SSDT)] NtTerminateProcess[257] : Unknown @ 0x8ad7842c

[sSDT:Addr(Hook.SSDT)] NtTerminateThread[258] : Unknown @ 0x8ace81c4

[sSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[277] : Unknown @ 0x8ae35284

[shwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookAW[548] : Unknown @ 0x8ac05cdc

[shwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[549] : Unknown @ 0x8abffa4c

[Filter(Kernel.Filter)] \Driver\atapi @ Unknown : \Driver\AnyDVD @ Unknown (\SystemRoot\System32\Drivers\AnyDVD.sys)

 

¤¤¤ Navigateurs web : 0 ¤¤¤

 

¤¤¤ Vérification MBR : ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543225L9A300 +++++

--- User ---

[MBR] 58bc4a1735672f3771e466fc8dff90bd

[bSP] eec59fbd7c59b9e30f5f97b682e247ef : Windows XP MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 10001 MB

1 - [ACTIVE] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 20482875 | Size: 119232 MB

2 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 264670875 | Size: 109238 MB

User = LL1 ... OK

User = LL2 ... OK

 

+++++ PhysicalDrive1: General USB Flash Disk USB Device +++++

--- User ---

[MBR] 04a0b0ae62f0548179d0a3f3a1716cd6

[bSP] 79fdcb6f5787863c0e9a758566d1ae79 : Legit.Unknown MBR Code

Partition table:

0 - [ACTIVE] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 32 | Size: 30534 MB

User = LL1 ... OK

Error reading LL2 MBR! ([32] Cette demande n'est pas prise en charge. )

Posté(e)

Dans Rogue Killer, sous l'onglet registre, coche toutes les cases puis clique sur Suppression.

 

Poste le rapport stp.

 

@++

Posté(e)

Rapport :

RogueKiller V10.6.2.0 [May 4 2015] par Adlice Software

email : http://www.adlice.com/contact/

Remontées : http://forum.adlice.com

Site web : http://www.adlice.com/fr/logiciels/roguekiller/

Blog : http://www.adlice.com

 

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Démarré en : Mode normal

Utilisateur : gestion [Administrateur]

Démarré depuis : C:\Documents and Settings\gestion.ADMINISTRATION\Bureau\RogueKiller.exe

Mode : Suppression -- Date : 05/10/2015 20:47:28

 

¤¤¤ Processus : 1 ¤¤¤

[PUP] (SVC) pcwatch -- \??\C:\WINDOWS\system32\Drivers\pcwatch.sys[-] -> ERROR [41c]

 

¤¤¤ Registre : 1 ¤¤¤

[PUP] \CLSID\{FB684D26-01F4-4D9D-87CB-F486BEBA56DC} -> Supprimé(e)

 

¤¤¤ Tâches : 0 ¤¤¤

 

¤¤¤ Fichiers : 0 ¤¤¤

 

¤¤¤ Fichier Hosts : 0 ¤¤¤

 

¤¤¤ Antirootkit : 28 (Driver: Chargé) ¤¤¤

[sSDT:Addr(Hook.SSDT)] NtCreateFile[37] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba441178

[sSDT:Addr(Hook.SSDT)] NtCreateKey[41] : Unknown @ 0x8ae4416c

[sSDT:Addr(Hook.SSDT)] NtCreateMutant[43] : Unknown @ 0x8ae350ec

[sSDT:Addr(Hook.SSDT)] NtCreateProcess[47] : Unknown @ 0x8ac4a38c

[sSDT:Addr(Hook.SSDT)] NtCreateProcessEx[48] : Unknown @ 0x8ae4bbb4

[sSDT:Addr(Hook.SSDT)] NtCreateSymbolicLinkObject[52] : Unknown @ 0x8ad18534

[sSDT:Addr(Hook.SSDT)] NtCreateThread[53] : Unknown @ 0x8ae3516c

[sSDT:Addr(Hook.SSDT)] NtDeleteFile[62] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba44110c

[sSDT:Addr(Hook.SSDT)] NtDeleteKey[63] : Unknown @ 0x8ad89804

[sSDT:Addr(Hook.SSDT)] NtDeleteValueKey[65] : Unknown @ 0x8ae35304

[sSDT:Addr(Hook.SSDT)] NtDuplicateObject[68] : Unknown @ 0x8ad184f4

[sSDT:Addr(Hook.SSDT)] NtLoadDriver[97] : Unknown @ 0x8ae3512c

[sSDT:Addr(Hook.SSDT)] NtOpenFile[116] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba44124e

[sSDT:Addr(Hook.SSDT)] NtOpenKey[119] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba441aea

[sSDT:Addr(Hook.SSDT)] NtOpenProcess[122] : Unknown @ 0x8ad4816c

[sSDT:Addr(Hook.SSDT)] NtOpenSection[125] : Unknown @ 0x8ae352c4

[sSDT:Addr(Hook.SSDT)] NtQueryDirectoryFile[145] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba4414b4

[sSDT:Addr(Hook.SSDT)] NtRenameKey[192] : Unknown @ 0x8ac54acc

[sSDT:Addr(Hook.SSDT)] NtRestoreKey[204] : Unknown @ 0x8ac54a8c

[sSDT:Addr(Hook.SSDT)] NtSetInformationFile[224] : C:\WINDOWS\system32\drivers\pcwatch.sys @ 0xba440f46

[sSDT:Addr(Hook.SSDT)] NtSetSystemInformation[240] : Unknown @ 0x8ad18574

[sSDT:Addr(Hook.SSDT)] NtSetValueKey[247] : Unknown @ 0x8ad89844

[sSDT:Addr(Hook.SSDT)] NtTerminateProcess[257] : Unknown @ 0x8ad7842c

[sSDT:Addr(Hook.SSDT)] NtTerminateThread[258] : Unknown @ 0x8ace81c4

[sSDT:Addr(Hook.SSDT)] NtWriteVirtualMemory[277] : Unknown @ 0x8ae35284

[shwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookAW[548] : Unknown @ 0x8ac05cdc

[shwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[549] : Unknown @ 0x8abffa4c

[Filter(Kernel.Filter)] \Driver\atapi @ Unknown : \Driver\AnyDVD @ Unknown (\SystemRoot\System32\Drivers\AnyDVD.sys)

 

¤¤¤ Navigateurs web : 1 ¤¤¤

[FIREFX:Addon] c06wt91t.default-1416158394593 : MEGA extension [firefox@mega.co.nz] -> Supprimé(e)

 

¤¤¤ Vérification MBR : ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS543225L9A300 +++++

--- User ---

[MBR] 58bc4a1735672f3771e466fc8dff90bd

[bSP] eec59fbd7c59b9e30f5f97b682e247ef : Windows XP MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 63 | Size: 10001 MB

1 - [ACTIVE] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 20482875 | Size: 119232 MB

2 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 264670875 | Size: 109238 MB

User = LL1 ... OK

User = LL2 ... OK

 

+++++ PhysicalDrive1: General USB Flash Disk USB Device +++++

--- User ---

[MBR] 04a0b0ae62f0548179d0a3f3a1716cd6

[bSP] 79fdcb6f5787863c0e9a758566d1ae79 : Legit.Unknown MBR Code

Partition table:

0 - [ACTIVE] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 32 | Size: 30534 MB

User = LL1 ... OK

Error reading LL2 MBR! ([32] Cette demande n'est pas prise en charge. )

 

 

============================================

RKreport_SCN_05102015_200237.log

Posté(e)

Avant d'utiliser l'artillerie lourde:

 

1) Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

 

jrt02-4364c79.jpg

 

Site éditeur: http://thisisudax.org/

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.

S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera.

 

JRT_New sera créé sur le bureau;

 

Jette l'ancien JRT et renomme JRT_New en JRT .

 

Si c'est déjà la bonne version , il commencera sa recherche de malwares normalement. Patience svp.

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

 

 

capture1-3bf0deb_zpsf4ca5241.jpg

 

capture2-3bf0dfa_zps7abd8f5a.jpg

 

------------------------------

*** Si tu as une ancienne version d'AdwCleaner, lance-le et clique sur désinstaller.***

 

2) Télécharge AdwCleaner par Xplode.

 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Scanner et laisse travailler l'outil.

 

Cliquer sur Nettoyer, le bouton sera accessible.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s0]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

http://www.vista-xp.fr/forum/topic10389.html

 

-------------------------

 

@++

  • Upvote 1
Posté(e)

Bonjour Apollo

 

ci dessous le rapport RJT

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 6.7.0 (05.09.2015:1)

OS: Microsoft Windows XP x86

Ran by gestion on 11/05/2015 at 12:56:20,75

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

 

 

~~~ Services

 

Failed to stop: [service] pcwatch

 

 

 

~~~ Tasks

 

 

 

~~~ Registry Values

 

 

 

~~~ Registry Keys

 

 

 

~~~ Files

 

 

 

~~~ Folders

 

Successfully deleted: [Folder] C:\Program Files\myfree codec

 

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 11/05/2015 at 13:04:20,01

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Posté(e)

Rapport adwcleaner

 

# AdwCleaner v4.203 - Logfile created 11/05/2015 at 13:09:46

# Updated 30/04/2015 by Xplode

# Database : 2015-04-30.2 [Local]

# Operating system : Microsoft Windows XP Service Pack 3 (x86)

# Username : gestion - PORTGESTION

# Running from : C:\Documents and Settings\gestion.ADMINISTRATION\Bureau\adwcleaner_4.203.exe

# Option : Cleaning

 

***** [ Services ] *****

 

 

***** [ Files / Folders ] *****

 

File Deleted : C:\WINDOWS\system32\drivers\pcwatch.sys

 

***** [ Scheduled tasks ] *****

 

 

***** [ Shortcuts ] *****

 

 

***** [ Registry ] *****

 

Key Deleted : HKLM\SOFTWARE\WebProtect

Data Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - <local>

 

***** [ Web browsers ] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

 

-\\ Mozilla Firefox v37.0.2 (x86 fr)

 

 

-\\ Google Chrome v

 

 

*************************

 

AdwCleaner[R0].txt - [7856 bytes] - [26/09/2014 16:05:50]

AdwCleaner[s0].txt - [7290 bytes] - [26/09/2014 16:07:53]

AdwCleaner[R1].txt - [6475 bytes] - [16/11/2014 18:45:21]

AdwCleaner[R2].txt - [6535 bytes] - [16/11/2014 18:48:07]

AdwCleaner[s1].txt - [7407 bytes] - [16/11/2014 18:50:09]

AdwCleaner[R3].txt - [1400 bytes] - [29/11/2014 09:50:54]

AdwCleaner[s2].txt - [1442 bytes] - [29/11/2014 09:53:18]

AdwCleaner[R4].txt - [1978 bytes] - [09/05/2015 13:38:42]

AdwCleaner[s3].txt - [2041 bytes] - [09/05/2015 13:40:31]

AdwCleaner[R5].txt - [1570 bytes] - [11/05/2015 13:07:31]

AdwCleaner[s4].txt - [1476 bytes] - [11/05/2015 13:09:46]

 

########## EOF - C:\AdwCleaner\AdwCleaner[s4].txt - [1535 bytes] ##########

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...