Vous pensez être infecté, des pubs s'affichent quand vous naviguez sur internet ?
Perte de données, ralentissement système, virus USB ?
Réparez votre ordinateur gratuitement sur notre assistance en ligne.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par Jeff2974
#210142
Bonjour à tous,

Je viens vers vous car je suis infecté sur mon autre portable par le virus INTERPOL UCASH ; écran bloqué sur une page me demandant de payer et apparaissant auapravant en gros 30sec après le lancement de l'explorer.

SE : Win 8.1
Ordinateur ASUS R900V

Ca m'a donc laissé le temps d'aller avec msfconfig paramétrer en démarrage mode sans échec.

J'ai fait une fois un RK ; j'ai validé les 5 suppressions qu'il me proposait dans le registre.

Ensuite j'ai relancé en mode normal... Pas de virus pendant 10-15 minutes. Par contre pas d'accès au son ni au réseau (wifi + cà¢ble). Dans le gestionnaire de périph, il n'y a rien en rouge ni en jaune.
D'un seul coup la page virus est revenue sans que je comprenne.

Re-mode sans échec et j'ai suivi votre procédure : ADW, MBAM et ZHP, non sans refaire un RK.
J'ai souhaité voir si la restauration était possible : "Un composant du service VSS a rencontré une erreur inattendue..."
Dans SYSTEME du panneau de configuration :
Processeur : non disponible
Mémoire RAM : non disponible
Type du système : SE 64 bits, processeur x64
Activation de windows : redémarrez en mode normal pour l'activer (!!! elle l'a déjà été à l'achat cet été)
ID de produit : Non disponible
:E

Vous avez les 5 rapports ci-après.
Je viens de passer une journée sur les forums à essayer de comprendre une science qui m'est complètement hermétique... Je me repose donc sur vous !!

Cordialement
Jean-François
Code: Tout sélectionner
# AdwCleaner v4.102 - Rapport créé le 30/11/2014 à 16:30:27
# Mis à jour le 23/11/2014 par Xplode
# Database : 2014-11-23.7 [Local]
# Système d'exploitation : Windows 8.1 (64 bits)
# Nom d'utilisateur : Michel - PORTABLE-MICH
# Exécuté depuis : C:\Users\Michel\Desktop\adwcleaner_4.102.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Présent : C:\ProgramData\Websteroids

***** [ Tà¢ches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{384997EE-E3BE-49C4-9ECA-C62B7C08128A}
Clé Présente : HKLM\SOFTWARE\Classes\AppID\DynConIE.DLL
Clé Présente : HKLM\SOFTWARE\Classes\dynconie.dynconieobject
Clé Présente : HKLM\SOFTWARE\Classes\dynconie.dynconieobject.1
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{2830488C-079B-45C2-88B6-AFE4EAA2DF85}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{781CA792-9B6E-400B-B36F-15C097D2CA54}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Websteroids
Clé Présente : HKLM\SOFTWARE\SweetIM
Clé Présente : [x64] HKLM\SOFTWARE\Classes\CLSID\{E5A7A645-8318-4895-B85C-EDC606B80DB6}
Clé Présente : [x64] HKLM\SOFTWARE\Classes\Interface\{2830488C-079B-45C2-88B6-AFE4EAA2DF85}

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17344


-\\ Google Chrome v35.0.1916.153


*************************

AdwCleaner[R1].txt - [1541 octets] - [30/11/2014 16:20:09]
AdwCleaner[R2].txt - [1601 octets] - [30/11/2014 16:28:58]
AdwCleaner[R3].txt - [1534 octets] - [30/11/2014 16:30:27]

########## EOF - C:\AdwCleaner\AdwCleaner[R3].txt - [1594 octets] ##########




# AdwCleaner v4.102 - Rapport créé le 30/11/2014 à 16:33:46
# Mis à jour le 23/11/2014 par Xplode
# Database : 2014-11-23.7 [Local]
# Système d'exploitation : Windows 8.1 (64 bits)
# Nom d'utilisateur : Michel - PORTABLE-MICH
# Exécuté depuis : C:\Users\Michel\Desktop\adwcleaner_4.102.exe
# Option : Scanner

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****


***** [ Tà¢ches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****


***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17344


-\\ Google Chrome v35.0.1916.153


*************************

AdwCleaner[R1].txt - [1541 octets] - [30/11/2014 16:20:09]
AdwCleaner[R2].txt - [1601 octets] - [30/11/2014 16:28:58]
AdwCleaner[R3].txt - [1682 octets] - [30/11/2014 16:30:27]
AdwCleaner[R4].txt - [813 octets] - [30/11/2014 16:33:46]
AdwCleaner[S1].txt - [1754 octets] - [30/11/2014 16:31:35]

########## EOF - C:\AdwCleaner\AdwCleaner[R4].txt - [932 octets] ##########

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
https://www.malwarebytes.org

Version de la base de données: v2013.04.04.07

Windows 8 x64 NTFS (Mode sans échec)
Internet Explorer 11.0.9600.17351
Michel :: PORTABLE-MICH [administrateur]

Protection: Désactivé

30/11/2014 16:41:14
mbam-log-2014-11-30 (16-41-14).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 211947
Temps écoulé: 2 minute(s), 10 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)



RogueKiller V10.0.8.0 [Nov 20 2014] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com
Site web : https://www.adlice.com/fr/logiciels/roguekiller/
Blog : https://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9600 ) 64 bits version
Démarré en : Mode sans échec
Utilisateur : Michel [Administrateur]
Mode : Suppression -- Date : 11/30/2014 16:26:42

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 3 ¤¤¤
[PUP] (X64) HKEY_CLASSES_ROOT\CLSID\{E5A7A645-8318-4895-B85C-EDC606B80DB6} -> ERROR [2]
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\winmgmt\Parameters | ServiceDll : C:\PROGRA~3\DC6DE7A85.zot [-] -> Remplacé(e) (%systemroot%\system32\wbem\WMIsvc.dll)
[Suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\winmgmt\Parameters | ServiceDll : C:\PROGRA~3\DC6DE7A85.zot [-] -> Remplacé(e) (%systemroot%\system32\wbem\WMIsvc.dll)

¤¤¤ Tà¢ches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Non chargé [0xc000035f]) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] dc266d59e9e084474a7cedf1b74dfc43
[BSP] 752bb0386421670db1890f9130431a2f : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x0) [VISIBLE] Offset (sectors): 1 | Size: 2097151 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 735a1b1b751152b1728bddc726b90c7b
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0xb) [VISIBLE] Offset (sectors): 32 | Size: 7650 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_11302014_120311.log - RKreport_DEL_11302014_121040.log - RKreport_DEL_11302014_121214.log - RKreport_DEL_11302014_140411.log
RKreport_DEL_11302014_141927.log - RKreport_SCN_11302014_120024.log - RKreport_SCN_11302014_120948.log - RKreport_SCN_11302014_121148.log
RKreport_SCN_11302014_140343.log - RKreport_SCN_11302014_141908.log - RKreport_SCN_11302014_143109.log - RKreport_SCN_11302014_162548.log



Rapport de ZHPFix 2014.10.24.12 par Nicolas Coolman, Update du 24/10/2014
Fichier d'export Registre :
Run by Michel at 30/11/2014 16:53:26
High Elevated Privileges : OK
Windows 8.1 Home Premium Edition, 64-bit Service Pack 1 (9600)

Corbeille vidée (00mn 02s)

========== Clés du Registre ==========
CTFDisabledCTFMon désactivé par défaut

========== Fichier HOSTS ==========
Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.


========== Récapitulatif ==========
1 : Clés du Registre
1 : Fichier HOSTS


End of clean in 01mn 00s

========== Chemin de fichier rapport ==========
C:\Users\Michel\AppData\Roaming\ZHP\ZHPFix[R1].txt - 30/11/2014 16:52:31 [601]
C:\Users\Michel\AppData\Roaming\ZHP\ZHPFix[R2].txt - 30/11/2014 16:53:07 [785]
C:\Users\Michel\AppData\Roaming\ZHP\ZHPFix[R3].txt - 30/11/2014 16:53:28 [785]
Avatar du membre
par g3n-h@ckm@n
#210152
Salut
  • Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

    Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
  • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( >> Aide << )
  • Télécharge Pre_Scan sur ton bureau !
  • Si le lien n'est pas fonctionnel :
    • #ICI (renommé winlogon)
    Image
  • Si l'outil est bloqué par l'infection essaye avec d'autres extensions :
  • Si des Proxy sont détectés et que tu n'en as pas installé :
    • Clique sur Supprimer le Proxy
  • A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
  • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur puis donne le lien
Avatar du membre
par Jeff2974
#210164
Re
Merci pour ta réponse,
Ci après le pré scan :


<spoiler>
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | g3n-h@ckm@n | 04.11.27.1 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 19:05:13

Mis ? jour le 27/11/2014 | 20.35 par g3n-h@ckm@n
Contact : https://www.sosvirus.net/
Pre_scan Feedbacks : https://www.sosvirus.net/feedback-t74962.html

[Michel (Administrator)] - [PORTABLE-MICH]
SID = S-1-5-21-4257438303-146448401-784214444-1002

Boot: SafeMode
Syst?me : Windows 8.1 (64 bits) Core
ProcessorNameString : Intel(R) Core(TM) i7-3630QM CPU @ 2.40GHz
Identifier : Intel64 Family 6 Model 58 Stepping 9


M?moire RAM = Total (MB) : 16652 | Libre (MB) : 15891
Pagefile = Total (MB) : 19142 | Libre (MB) : 18438
Virtuelle = Total (MB) : 4194 | Libre (MB) : 4059

¤¤¤¤¤¤¤¤¤¤ # Composants de d?marrage


¤¤¤¤¤¤¤¤¤¤¤ # P?ripheriques

C:\-> [Fixed] | [OS] | Total : 1144180 Mo | Libre : 1088020 Mo -> NTFS
D:\-> [Fixed] | [Data] | Total : 1695130 Mo | Libre : 896860 Mo -> NTFS
F:\-> [Fixed] | [TOSHIBA EXT] | Total : 953870 Mo | Libre : 666620 Mo -> NTFS
G:\-> [Removable] | [STORE N GO] | Total : 7640 Mo | Libre : 7590 Mo -> FAT32

¤¤¤¤¤¤¤¤¤¤ # Mises ? jour Windows

Aucune mise ? jour d?tect?e !!!


¤¤¤¤¤¤¤¤¤¤ # Sessions

C:\WINDOWS\system32\config\systemprofile
C:\Windows\ServiceProfiles\LocalService
C:\Windows\ServiceProfiles\NetworkService
C:\Users\UpdatusUser
C:\Users\Michel

Registre sauvegard? , pour restaurer : C:\Pre_Scan\Save\Scan\ERDNT.exe


¤¤¤¤¤¤¤¤¤¤ # Navigateurs

IE : 11.0.9600.17344 (© Microsoft Corporation.)
GC : 35.0.1916.153 (Copyright 2012 Google Inc.)

¤¤¤¤¤¤¤¤¤¤ # FlashPlayer

ActiveX : 15.0.0.189
WMI : /!\
WU: Windows Update Service [Disabled(4)] = Arr?t?
AS: Windows Defender [Manual(3)] = Arr?t?
FW: Windows FireWall Service [Disabled(4)] = Arr?t?

¤¤¤¤¤¤¤¤¤¤ # Processus stopp?s

96 | [Owner : Michel |Parent : 1016] - (.Microsoft Corporation - Explorateur Windows.) - (6.3.9600.17284) = C:\Windows\explorer.exe
396 | [Owner : Michel |Parent : 96] - (.Microsoft Corporation - Chargeur CTF.) - (6.3.9600.16384) = C:\Windows\System32\ctfmon.exe
1388 | [Owner : Michel |Parent : 96] - (.Microsoft Corporation - Gestionnaire des tà¢ches.) - (6.3.9600.17031) = C:\Windows\System32\Taskmgr.exe

¤¤¤¤¤¤¤¤¤¤ # Winlogon utilisateur


¤¤¤¤¤¤¤¤¤¤ # Winlogon machine

R?par? : [HKLM | Winlogon]|[userinit] : userinit.exe -> C:\WINDOWS\Syswow64\userinit.exe,

¤¤¤¤¤¤¤¤¤¤ # Associations

R?par? : [HKLM\Software\Classes\Application.Manifest\shell\open\command] : "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\dfshim.dll",ShOpenVerbApplication %1 -> rundll32.exe dfshim.dll,ShOpenVerbApplication %1
R?par? : [HKLM\Software\Classes\Application.Reference\shell\open\command] : "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\dfshim.dll",ShOpenVerbShortcut %1
%2 -> rundll32.exe dfshim.dll,ShOpenVerbShortcut %1
%2
R?par? : [HKLM\Software\Classes\Folder\shell\open\command] : C:\WINDOWS\Explorer.exe -> C:\WINDOWS\Explorer.exe


¤

R?par? : HKLM\Software\Clients\StartMenuInternet\IExplore.exe\shell\open\command] : C:\Program Files\Internet Explorer\iexplore.exe -> "C:\Program Files (x86)\Internet Explorer\iexplore.exe"
R?par? : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] : %s -> %s
R?par? : HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] : %s -> %s

¤¤¤¤¤¤¤¤¤¤ # Registre

R?par? : HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
R?par? : HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
R?par? : HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
R?par? : HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
R?par? : HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
R?par? : HKLM\software\Microsoft\Windows\CurrentVersion\Policies\Explorer]~[NoActiveDesktop] : 1 -> 0
R?par? : HKLM\software\Microsoft\Windows\CurrentVersion\Policies\Explorer]~[NoActiveDesktopChanges] : 1 -> 0
R?par? : HKLM64\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
R?par? : HKLM64\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
R?par? : HKLM64\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
R?par? : HKLM64\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
R?par? : HKLM64\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]~[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
R?par? : HKU\S-1-5-21-4257438303-146448401-784214444-1002\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]~ : 2 -> 0
R?par? : HKU\S-1-5-21-4257438303-146448401-784214444-1002\software\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel]~[AllItemsIconView] : 0 -> 1

¤¤¤¤¤¤¤¤¤¤ # Acc?s au registre et au gestionnaire des taches


¤¤¤¤¤¤¤¤¤¤ # SafeBoot

Safeboot Keys are O.K

Alternate shell is OK !

?


¤¤¤¤¤¤¤¤¤¤ # IFEO


¤¤¤¤¤¤¤¤¤¤ # Mountpoints2



Contenu de F:\autorun.inf :

[autorun]
shellexecute="Toshiba Places.html"
icon=TMP.ico
label=Toshiba HDD

¤¤¤¤¤¤¤¤¤¤ # Windows

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\Boot]|[Shell] : SYS:Microsoft\Windows NT\CurrentVersion\Winlogon
[HKLM64\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\Boot]|[Shell] : SYS:Microsoft\Windows NT\CurrentVersion\Winlogon
[HKLM64\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini]|[winlogon] : SYS:Microsoft\Windows NT\CurrentVersion\Winlogon

¤¤¤¤¤¤¤¤¤¤ # Centre de s?curit?

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{003e0278-eca8-4bb8-a256-3689ca1c2600}]|[Autostart] : C:\WINDOWS\system32\shell32.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{3BF043EF-A974-49B3-8322-B853CF1E5EC5}]|[Autostart] : C:\WINDOWS\System32\SndVolSSO.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{59EFE487-E5B8-4fae-9D2C-FCDF0B70CE70}]|[Autostart] : C:\Windows\SysWOW64\twinui.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{68ddbb56-9d1d-4fd9-89c5-c0da2a625392}]|[Autostart] : C:\WINDOWS\system32\stobject.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{7849596a-48ea-486e-8937-a2a3009f31a9}]|[Autostart] : C:\WINDOWS\system32\shell32.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{78DE489B-7931-4f14-83B4-C56D38AC9FFA}]|[Autostart] : C:\WINDOWS\system32\shell32.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{811F592B-CDE7-4ca4-A6D4-7BB3F60AD8FB}]|[Autostart] : C:\WINDOWS\system32\shell32.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{900c0763-5cad-4a34-bc1f-40cd513679d5}]|[Pas d'Autostart] : C:\WINDOWS\System32\hcproviders.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{900c0763-5cad-4a34-bc1f-40cd513679d5}]|[Pas d'Autostart] : C:\WINDOWS\System32\hcproviders.dll C:\WINDOWS\System32\hcproviders.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{A8CD0ADC-23D6-4B79-BCC9-D3309DF34760}]|[Autostart] : C:\WINDOWS\system32\authui.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{AAA288BA-9A4C-45B0-95D7-94D524869DB5}]|[Autostart] : C:\WINDOWS\system32\wpdshserviceobj.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{B5CFEB0E-9C01-4942-A5CB-F62EB09D808F}]|[Autostart] : C:\WINDOWS\system32\SettingMonitor.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{D46A0B4F-4EEC-4A83-8DE5-9C86F0DFA34D}]|[Autostart] : C:\WINDOWS\system32\SettingMonitor.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{DA67B8AD-E81B-4c70-9B91-B417B5E33527}]|[Autostart] : C:\WINDOWS\System32\srchadmin.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{EF4D1E1A-1C87-4AA8-8934-E68E4367468D}]|[Autostart] : C:\Windows\SysWOW64\shdocvw.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F08C5AC2-E722-4116-ADB7-CE41B527994B}]|[Autostart] : C:\Windows\SysWOW64\bthprops.cpl [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F20487CC-FC04-4B1E-863F-D9801796130B}]|[Autostart] : C:\WINDOWS\System32\SyncCenter.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]|[Autostart] : C:\WINDOWS\System32\Actioncenter.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{fbeb8a05-beee-4442-804e-409d6c4515e9}]|[Autostart] : C:\WINDOWS\system32\shell32.dll [ok]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{ff363bfe-4941-4179-a81c-f3f1ca72d820}]|[Autostart] : C:\WINDOWS\System32\hgcpl.dll [ok]


R?par? : [HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]|[EnableFirewall] : 1 -> 0
R?par? : [HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]|[EnableFirewall] : 1 -> 0
R?par? : [HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]|[EnableFirewall] : 1 -> 0

¤¤¤¤¤¤¤¤¤¤ # Correction des services


R?par? : [Compbatt] : -> 0
R?par? : [srService] : -> 2
R?par? : [Power] : 4 -> 2
R?par? : [PlugPlay] : 4 -> 2
R?par? : [Parvdm] : -> 2
R?par? : [NVSvc] : 4 -> 2
R?par? : [nsi] : 4 -> 2
R?par? : [NLASvc] : 4 -> 2
R?par? : [NIHardwareService] : -> 2
R?par? : [MPSsvc] : 4 -> 2
R?par? : [MMCSS] : 4 -> 2
R?par? : [Iphlpsvc] : 4 -> 2
R?par? : [IKEEXT] : 4 -> 2
R?par? : [IAStorDataMgrsvc] : -> 2
R?par? : [lmhosts] : 4 -> 2
R?par? : [LanmanWorkstation] : 4 -> 2
R?par? : [LanmanServer] : 4 -> 2
R?par? : [agp440] : 0 -> 2
R?par? : [AudioEndpointBuilder] : 4 -> 2
R?par? : [BFE] : 4 -> 2
R?par? : [Browser] : 4 -> 3
R?par? : [ERSvc] : -> 2
R?par? : [DnsCache] : 4 -> 2
R?par? : [Bits] : 4 -> 2
R?par? : [CryptSvc] : 3 -> 2
R?par? : [EapHost] : 4 -> 2
R?par? : [Wlansvc] : 4 -> 2
R?par? : [SharedAccess] : 4 -> 2
R?par? : [windefend] : 3 -> 2
R?par? : [winmgmt] : 4 -> 2
R?par? : [wuauserv] : 4 -> 2
R?par? : [wudfsvc] : 4 -> 2
R?par? : [WerSvc] : 4 -> 2
R?par? : [wscsvc] : 4 -> 2
R?par? : [Wwansvc] : 4 -> 3

¤¤¤¤¤¤¤¤¤¤ # Internet Explorer


¤¤¤¤¤¤¤¤¤¤ # reparsepoint



¤¤¤¤¤¤¤¤¤¤ # D?tection des offsets


¤¤¤¤¤¤¤¤¤¤ # Fichiers | Dossiers | Registre


D?plac? en quarantaine avec succ?s : C:\$Recycle.bin\S-1-5-18\desktop.ini
D?plac? en quarantaine avec succ?s : C:\$Recycle.bin\S-1-5-19\desktop.ini
D?plac? en quarantaine avec succ?s : C:\$Recycle.bin\S-1-5-21-4257438303-146448401-784214444-1002\$IJYT2QP.db
D?plac? en quarantaine avec succ?s : C:\$Recycle.bin\S-1-5-21-4257438303-146448401-784214444-1002\$INJSMYG.ini
D?plac? en quarantaine avec succ?s : C:\$Recycle.bin\S-1-5-21-4257438303-146448401-784214444-1002\$RJYT2QP.db
D?plac? en quarantaine avec succ?s : C:\$Recycle.bin\S-1-5-21-4257438303-146448401-784214444-1002\$RNJSMYG.ini
D?plac? en quarantaine avec succ?s : C:\$Recycle.bin\S-1-5-21-4257438303-146448401-784214444-1002\desktop.ini
Supprim? : C:\$Recycle.bin\S-1-5-18
Supprim? : C:\$Recycle.bin\S-1-5-19
Supprim? : C:\$Recycle.bin\S-1-5-21-4257438303-146448401-784214444-1002

D?plac? en quarantaine avec succ?s : C:\WINDOWS\Tasks\DriverNavigator Scheduled Scan.job
D?plac? en quarantaine avec succ?s : G:\RogueKiller.exe
D?plac? en quarantaine avec succ?s : G:\sh-remover.exe
D?plac? en quarantaine avec succ?s : G:\mbam-setup.exe
D?plac? en quarantaine avec succ?s : G:\DriverNavigator_Setup.exe
D?plac? en quarantaine avec succ?s : G:\Pre_Scan.exe
D?plac? en quarantaine avec succ?s : C:\ProgramData\DC6DE7A85.zot
D?plac? en quarantaine avec succ?s : C:\ProgramData\58A7ED6CD.cpp

¤¤¤¤¤¤¤¤¤¤ # ADS


Prefetch -> Nettoy?



D:\ : Vaccinated (Vaccin created by Pre_Scan)
G:\ : Vaccinated (Vaccin created by Pre_Scan)

?????????? | Hidden files

~ [Drive D:] : Hidden : 69 | Restored : 69
~ [Drive C:] : Hidden : 3 | Restored : 3
~ [Users] : Hidden : 2 | Restored : 2
~ [Searches] : Hidden : 2 | Restored : 2
~ [Windows] : Hidden : 37 | Restored : 32
~ [Libraries] : Hidden : 1 | Restored : 1


¤¤¤¤¤¤¤¤¤¤ # Contr?le des partitions

Disk: 0 Size=764G
Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
--- ------ ---------- ---- ------ ---- ------------ ------------
0 0 EE-UNKNWN 21.0T No No 1 294,967,295

¤¤¤¤¤¤¤¤¤¤

[HKLM64 | Winlogon] | AutoRestartShell : 0 -> 1

End : 19:08:54


¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤ - 269
</spoiler>
Avatar du membre
par g3n-h@ckm@n
#210166
re

bien, on va faire un diag poussé
note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible dans ton disque système ( logiquement C: )
Avatar du membre
par g3n-h@ckm@n
#210169
on lui fait sa fête :

Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
Télécharge OTM (OldTimer) sur ton Bureau :
Double-clique sur OTM.exe afin de le lancer. (clic droit "executer en tant qu'administrateur" pour Vista/7/8 )

Copie (Ctrl+C) le texte suivant ci-dessous :

:reg
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-

:files
C:\Users\Michel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DC6DE7A85.lnk
C:\Users\Michel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webshots.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CineForm Status.lnk
C:\WINDOWS\System32\Tasks\CreateChoiceProcessTask

:commands
[emptytemp]


Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

*Le nom du rapport correspond au moment de sa création : date_heure.log
Avatar du membre
par Jeff2974
#210173
Re
Merci
Je n'ai pas besoin de désactiver mon anti-virus...il est désactivé et il ne veut pas se réactiver.

Ci après le rapport :

All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.
========== FILES ==========
C:\Users\Michel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DC6DE7A85.lnk moved successfully.
C:\Users\Michel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Webshots.lnk moved successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CineForm Status.lnk moved successfully.
File/Folder C:\WINDOWS\System32\Tasks\CreateChoiceProcessTask not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default.migrated

User: Michel
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5538272 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 647 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 70978 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 5,00 mb


OTM by OldTimer - Version 3.1.21.0 log created on 11302014_212457
Avatar du membre
par g3n-h@ckm@n
#210174
remet le demarrage en mode normal et redemarre
Avatar du membre
par g3n-h@ckm@n
#210177
;) donc plus de soucis ? :)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 7

Coucou, :) J'ai fait une capture d'écran,[…]

Suspicion de virus crypto

Ok bonne route :)

Problème avec Adsfix

bonsoir ok , à te lire prochainement :)

suspicion de contamination

ok très bien, merci