Explorer de windows 8 s’actualise… (trojan) 2014-07-01T09:19:36+00:00

SOSVirus : Dépannage PC Gratuit Support Aide à la désinfection – Forum Virus Sécurité Explorer de windows 8 s’actualise… (trojan)

  • Auteur
    Messages
  • Photo du profil de nscott32nscott32
    Participant
    Post count: 8

    Bonjour,

    J’ai ouvert un mauvais exécutable il y à environ 4 jours, je crois que c’est en cliquant sur un faux lien download, le genre de lien grossier (image) que l’on trouve sur certaines pages de téléchargement de setup.
    Le premier symptôme est que explorer s’actualise fréquemment (~1min) de manière anormale, au passage me fait perdre le focus et parfois ferme une fenêtre de l’explorer.
    Suite à cela j’ai demandé de l’aide sur le forum 01net : http://forum.telecharger.01net.com/forum/forum2.php?config=high-tech.inc&cat=6&subcat=159&post=66791&page=1&p=1&sondage=0&owntopic=1&trash=0&trash_post=0&print=0&numreponse=0&quote_only=0&new=0&nojs=0” onclick=”window.open(this.href);return false;

    Depuis de nouveaux symptômes sont apparus: hier des processus se ferment suite à des manipulations interdites de la mémoire… Avec des noms douteux comme tmpBD1.exe par exemple. ^^’
    Et aujourd’hui des script javascript tentent de se télécharger, avec des noms comme dpx.js.

    Voici les rapports demandés par sosvirus :
    AdwCleaner :
    [spoiler:1ijhgivj]# AdwCleaner v3.214 – Rapport créé le 01/07/2014 à 10:48:14
    # Mis à jour le 29/06/2014 par Xplode
    # Système d'exploitation : Windows 8.1 Pro (64 bits)
    # Nom d'utilisateur : Admin – CLEVO
    # Exécuté depuis : C:UsersAdminDesktopadwcleaner_3.214.exe
    # Option : Scanner

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v11.0.9600.17126

    -\ Google Chrome v35.0.1916.153

    [ Fichier : C:UsersAdminAppDataLocalGoogleChromeUser DataDefaultpreferences ]

    *************************

    AdwCleaner[R0].txt – [1040 octets] – [29/06/2014 18:13:38]
    AdwCleaner[R1].txt – [901 octets] – [01/07/2014 08:50:54]
    AdwCleaner[R2].txt – [762 octets] – [01/07/2014 10:48:14]
    AdwCleaner[S0].txt – [1107 octets] – [29/06/2014 18:14:29]
    AdwCleaner[S1].txt – [961 octets] – [01/07/2014 09:37:52]

    ########## EOF – C:AdwCleanerAdwCleaner[R2].txt – [940 octets] ##########[/spoiler:1ijhgivj]
    Malwarebytes :
    [spoiler:1ijhgivj]Malwarebytes Anti-Malware
    http://www.malwarebytes.org” onclick=”window.open(this.href);return false;

    Scan Date: 01/07/2014
    Scan Time: 10:24:46
    Logfile:
    Administrator: Yes

    Version: 2.00.2.1012
    Malware Database: v2014.07.01.02
    Rootkit Database: v2014.07.01.01
    License: Free
    Malware Protection: Disabled
    Malicious Website Protection: Disabled
    Self-protection: Disabled

    OS: Windows 8.1
    CPU: x64
    File System: NTFS
    User: Admin

    Scan Type: Threat Scan
    Result: Completed
    Objects Scanned: 317707
    Time Elapsed: 4 min, 26 sec

    Memory: Enabled
    Startup: Enabled
    Filesystem: Enabled
    Archives: Enabled
    Rootkits: Disabled
    Heuristics: Enabled
    PUP: Enabled
    PUM: Enabled

    Processes: 9
    Trojan.Agent.ED, C:WindowsSysWOW64yqsyupmul.exe, 1692, Delete-on-Reboot, [97bff2a817648ea87eb3ce73a15f2dd3]
    Trojan.Agent.ED, C:UsersAdminAppDataRoamingUvituvzhuant.exe, 3700, Delete-on-Reboot, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, C:UsersAdminAppDataRoamingUvituvzhuant.exe, 10124, Delete-on-Reboot, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, C:UsersAdminAppDataRoamingUvituvzhuant.exe, 8704, Delete-on-Reboot, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, C:UsersAdminAppDataRoamingUvituvzhuant.exe, 6996, Delete-on-Reboot, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, C:UsersAdminAppDataRoamingUvituvzhuant.exe, 8936, Delete-on-Reboot, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, C:UsersAdminAppDataRoamingUvituvzhuant.exe, 9808, Delete-on-Reboot, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, C:UsersAdminAppDataRoamingUvituvzhuant.exe, 2072, Delete-on-Reboot, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, C:UsersAdminAppDataRoamingUvituvzhuant.exe, 6948, Delete-on-Reboot, [aaac26746c0f2412d45de75aba46e020]

    Modules: 0
    (No malicious items detected)

    Registry Keys: 1
    Trojan.Agent.ED, HKLMSYSTEMCURRENTCONTROLSETSERVICESSecurityCenterServer2416938423, Quarantined, [97bff2a817648ea87eb3ce73a15f2dd3],

    Registry Values: 4
    Trojan.Agent.ED, HKLMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN|Vomoboonovanle, “C:UsersAdminAppDataRoamingUvituvzhuant.exe”, Quarantined, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, HKLMSOFTWAREWOW6432NODEMICROSOFTWINDOWSCURRENTVERSIONRUN|Vomoboonovanle, C:UsersAdminAppDataRoamingUvituvzhuant.exe, Quarantined, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, HKUS-1-5-21-771577893-916430460-982458633-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN|Vomoboonovanle, C:UsersAdminAppDataRoamingUvituvzhuant.exe, Quarantined, [aaac26746c0f2412d45de75aba46e020]
    Trojan.Agent.ED, HKUS-1-5-21-771577893-916430460-982458633-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREWOW6432NODEMICROSOFTWINDOWSCURRENTVERSIONRUN|Vomoboonovanle, C:UsersAdminAppDataRoamingUvituvzhuant.exe, Quarantined, [aaac26746c0f2412d45de75aba46e020]

    Registry Data: 0
    (No malicious items detected)

    Folders: 0
    (No malicious items detected)

    Files: 4
    Trojan.Agent.ED, C:WindowsSysWOW64yqsyupmul.exe, Delete-on-Reboot, [97bff2a817648ea87eb3ce73a15f2dd3],
    Trojan.Agent.ED, C:UsersAdminAppDataRoamingUvituvzhuant.exe, Delete-on-Reboot, [aaac26746c0f2412d45de75aba46e020],
    Trojan.Agent.ED, C:UsersAdminAppDataLocalTempUpdateFlashPlayer_75415608.exe, Quarantined, [43130f8b710a95a1161b50f16e922cd4],
    Trojan.Agent.RvGen, C:WindowsTasksSecurity Center Update – 2416938423.job, Quarantined, [35217426cdae42f4a68ad9fccf347090],

    Physical Sectors: 0
    (No malicious items detected)

    (end)[/spoiler:1ijhgivj]
    ZHPDiag :
    [spoiler:1ijhgivj]~ Rapport de ZHPDiag v2014.6.30.100 – Nicolas Coolman (30/06/2014)
    ~ Lancé par Admin (01/07/2014 11:00:00)
    ~ Adresse du Site Web http://nicolascoolman.fr” onclick=”window.open(this.href);return false;
    ~ Traduit par Nicolas Coolman
    ~ Etat de la version : Version à jour.
    ~ Liste blanche : Activée par le programme
    ~ Elévation des Privilèges : OK
    ~ User Account Control (UAC): Deactivate by user

    —\ Navigateurs Internet
    MSIE: Internet Explorer v11.0.9600.17126
    GCIE: Google Chrome v35.0.1916.153 (Defaut)

    —\ Informations sur les produits Windows
    ~ Langage: Français
    Windows 8.1 Pro, 64-bit (Build 9600)
    Windows Server License Manager Script : OK
    ~ Windows(R) Operating System, OEM_COA_NSLP channel
    Windows ID Activation : OK
    ~ Windows Partial Key : 8W8YQ
    Windows License : OK
    ~ Windows Remaining Initializations Number : 1000
    Software Protection Service (Protection logicielle) : OK
    Windows Automatic Updates : OK
    Windows Activation Technologies : OK

    —\ Logiciels de protection du système
    Malwarebytes Anti-Malware version 2.0.2.1012
    Windows Defender W8 (Activate)

    —\ Logiciels d'optimisation du système

    —\ Logiciels de partage PeerToPeer

    —\ Surveillance de Logiciels
    Java 7 Update 60

    —\ Informations sur le système
    ~ Processor: Intel64 Family 6 Model 58 Stepping 9, GenuineIntel
    ~ Operating System: 64 Bits
    Boot mode: Normal (Normal boot)
    Total RAM: 16262 MB (88% free)
    System Restore: Activé (Enable)
    System drive C: has 18 GB (13%) free of 129 GB

    —\ Mode de connexion au système
    ~ Computer Name: CLEVO
    ~ User Name: Admin
    ~ All Users Names: HomeGroupUser$, Administrateur, Admin,
    ~ Unselected Option: None
    Logged in as Administrator

    —\ Variables d'environnement
    ~ System Unit : C:
    ~ %AppZHP% : C:UsersAdminAppDataRoamingZHP
    ~ %AppData% : C:UsersAdminAppDataRoaming
    ~ %Desktop% : C:UsersAdminDesktop
    ~ %Favorites% : C:UsersAdminFavorites
    ~ %LocalAppData% : C:UsersAdminAppDataLocal
    ~ %StartMenu% : C:UsersAdminAppDataRoamingMicrosoftWindowsStart Menu
    ~ %Windir% : C:Windows
    ~ %System% : C:WindowsSystem32

    —\ Enumération des unités disques
    C: Hard drive, Flash drive, Thumb drive (Free 18 Go of 129 Go)
    D: CD-ROM drive (Not Inserted)
    F: Hard drive, Flash drive, Thumb drive (Free 0 Go of 0 Go)
    G: Hard drive, Flash drive, Thumb drive (Free 24 Go of 457 Go)

    —\ Etat du Centre de Sécurité Windows
    [HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem] EnableLUA: Modified
    ~ Security Center: 41 Legitimates Filtered in 00mn 00s

    —\ Recherche particulière de fichiers génériques
    [MD5.81394C91B7B5A7C799E249AE82491F13] – (.Microsoft Corporation – Explorateur Windows.) (.26/04/2014 – 10:16:02.) — C:WindowsExplorer.exe [2373784]
    [MD5.48CFA7BE561A7BE144C29BB912055016] – (.Microsoft Corporation – Application de démarrage de Windows.) (.22/08/2013 – 10:58:29.) — C:WindowsSystem32Wininit.exe [144384]
    [MD5.40BFD9D6EC8E174145F012246CA73CCD] – (.Microsoft Corporation – Extensions Internet pour Win32.) (.30/05/2014 – 08:56:56.) — C:WindowsSystem32wininet.dll [2266112]
    [MD5.306EB21E5B480AE9065EA55AC8C35936] – (.Microsoft Corporation – Application d’ouverture de session Windows.) (.18/03/2014 – 11:13:57.) — C:WindowsSystem32Winlogon.exe [562176]
    [MD5.AFCAB4DC692CCE37E283B00E2D7B438F] – (.Microsoft Corporation – Bibliothèque de licences.) (.18/03/2014 – 11:14:00.) — C:WindowsSystem32sppcomapi.dll [447488]
    [MD5.7C7BE474915166B61B84C025F1F10157] – (.Microsoft Corporation – Pilote de fonction connexe pour WinSock.) (.03/04/2014 – 03:23:11.) — C:Windowssystem32DriversAFD.sys [563200]
    [MD5.74B14192CF79A72F7536B27CB8814FBD] – (.Microsoft Corporation – ATAPI IDE Miniport Driver.) (.22/08/2013 – 13:43:41.) — C:Windowssystem32Driversatapi.sys [26464]
    [MD5.2FA6510E33F7DEFEC03658B74101A9B9] – (.Microsoft Corporation – CD-ROM File System Driver.) (.22/08/2013 – 12:40:15.) — C:Windowssystem32DriversCdfs.sys [88576]
    [MD5.C6796EA22B513E3457514D92DCDB1A3D] – (.Microsoft Corporation – SCSI CD-ROM Driver.) (.22/08/2013 – 09:46:35.) — C:Windowssystem32DriversCdrom.sys [164352]
    [MD5.A03F362C5557E238CBFA914689C77248] – (.Microsoft Corporation – DFS Namespace Client Driver.) (.26/04/2014 – 10:16:02.) — C:Windowssystem32DriversDfsC.sys [134144]
    [MD5.498288DD5CA42C2D36D125893E968C53] – (.Microsoft Corporation – High Definition Audio Bus Driver.) (.18/03/2014 – 09:19:14.) — C:Windowssystem32DriversHDAudBus.sys [77312]
    [MD5.84CFC5EFA97D0C965EDE1D56F116A541] – (.Microsoft Corporation – Pilote de port i8042.) (.22/08/2013 – 12:39:15.) — C:Windowssystem32Driversi8042prt.sys [107520]
    [MD5.B7342B3C58E91107F6E946A93D9D4EFD] – (.Microsoft Corporation – IP Network Address Translator.) (.18/03/2014 – 11:14:02.) — C:Windowssystem32DriversIpNat.sys [142848]
    [MD5.0696F66E4D423793951A60562F794D14] – (.Microsoft Corporation – Minirdr SMB Windows NT.) (.03/04/2014 – 03:23:05.) — C:Windowssystem32DriversMRxSmb.sys [402432]
    [MD5.0217532E19A748F0E5D569307363D5FD] – (.Microsoft Corporation – MBT Transport driver.) (.22/08/2013 – 12:37:02.) — C:Windowssystem32DriversnetBT.sys [282624]
    [MD5.1C80517BE6836A812F6A9B99B8321351] – (.Microsoft Corporation – Pilote du système de fichiers NT.) (.26/04/2014 – 10:16:02.) — C:Windowssystem32Driversntfs.sys [2013016]
    [MD5.764B1121867B2D9B31C491668AC72B2B] – (.Microsoft Corporation – Pilote de port parallèle.) (.22/08/2013 – 12:40:02.) — C:Windowssystem32DriversParport.sys [94208]
    [MD5.BBB6272B7F46C4640A8CDB8A70C3450F] – (.Microsoft Corporation – RAS L2TP mini-port/call-manager driver.) (.22/08/2013 – 12:35:51.) — C:Windowssystem32DriversRasl2tp.sys [120832]
    [MD5.680C1DAE268B6FB67FA21B389A8B79EF] – (.Microsoft Corporation – Redirecteur de périphérique de Microsoft RDP.) (.18/03/2014 – 10:41:39.) — C:Windowssystem32Driversrdpdr.sys [195584]
    [MD5.FFF28F9F6823EB1756C60F1649560BBF] – (.Microsoft Corporation – TDI Translation Driver.) (.22/08/2013 – 14:25:35.) — C:Windowssystem32Driverstdx.sys [107520]
    [MD5.4BB9BC49DEE1A319EC58274A7BBED663] – (.Microsoft Corporation – Pilote de cliché instantané du volume.) (.06/03/2014 – 13:42:44.) — C:Windowssystem32Driversvolsnap.sys [310616]
    ~ Generic Processes: Scanned in 00mn 00s

    —\ Etat des fichiers cachés (Caché/Total)
    ~ Mes images (My Pictures) : 1/3
    ~ Mes musiques (My Musics) : 1/544
    ~ Mes Favoris (My Favorites) : 1/4
    ~ Mes Documents (My Documents) : 1/10154
    ~ Mon Bureau (My Desktop) : 1/1572
    ~ Menu demarrer (Programs) : 1/81
    ~ Hidden Files: Scanned in 00mn 00s

    —\ Processus lancés
    [MD5.A42F0A103507636B3F0F9CC1DCDD5F53] – (.RME – Hammerfall DSP Settings.) — C:WindowsSystem32hdsp32.exe [650240] [PID.3756]
    [MD5.40373A39D69E5738991C776275092311] – (.RME – Hammerfall DSP Mixer.) — C:WindowsSystem32hdspmix.exe [1161216] [PID.3764]
    [MD5.79E40A1F2B253B00D2C19EABABABBF07] – (.Pas de propriétaire – HotKey.) — C:Program Files (x86)HotkeyHotkey.exe [4748288] [PID.3796]
    [MD5.A51CED67E552E6F8FEEF17A1311C1391] – (.Alcor – Monitor Function.) — C:WINDOWSWebCamS6000S6000Mnt.exe [79224] [PID.3836]
    [MD5.A5FCD42334CCC682DA1882A54338686C] – (.Google Inc. – Google Chrome.) — C:Program Files (x86)GoogleChromeApplicationchrome.exe [860488] [PID.2716]
    [MD5.A9EBEFD3FC125D31EB33A8BB1AB17BE8] – (.Microsoft Corporation – Internet Explorer.) — C:Program Files (x86)Internet ExplorerIEXPLORE.exe [812208] [PID.5592]
    [MD5.D2FC0CCC8B37F87EB0804545AF69BE39] – (.Nicolas Coolman – ZHPDiag.) — C:Program Files (x86)ZHPDiagZHPDiag.exe [8072704] [PID.5988]
    ~ Processes Running: Scanned in 00mn 00s

    —\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
    C:UsersAdminAppDataLocalGoogleChromeUser DataDefaultPreferences
    G2 – GCE: Preference [User DataDefault] [ajpgkpeckebdhofmmjfgcjjiiejpodla] CLSID_IHashTable v.6.0.2 (Activé)
    G2 – GCE: Preference [User DataDefault] [apdfllckaahabafndbhieahigkjlhalf] Google Drive v.6.3 (Activé)
    G2 – GCE: Preference [User DataDefault] [cdnfmoippfkddcakmbeaglgjcfcfcfmk] Vocabla : Mots anglais v.1.1.4 (Activé)
    G2 – GCE: Preference [User DataDefault] [mfffpogegjflfpflabcdkioaeobkgjik] GaiaAuthExtension v.0.0.1, (Activé)
    G2 – GCE: Preference [User DataDefault] [neajdppkdcdipfabeoofebfddakdcjhd] Google Network Speech v.1.0 (Activé)
    G2 – GCE: Preference [User DataDefault] [nkeimhogjdpnpccoofpliimaahmaaome] Hangout Services v.1.0 (Activé)
    G2 – GCE: Preference [User DataDefault] [nmmhkkegccagdldgiimedpiccmgmieda] Google Wallet v.0.0.6.1 (Activé)
    G2 – GCE: Preference [User DataDefault] [pafkbggdmjlpgkdkcbjmhmfcdpncadgh] Google Now v.1.2.0.1 (Activé)

    —\ Liste des dossiers d'extension Google Chrome
    ~ Google Lines Browser: 20 Legitimates Filtered in 00mn 04s

    —\ Internet Explorer, Proxy Management (R5)
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = no key
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyEnable = 0
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,MigrateProxy = 1
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,EnableHttp1_1 = 1
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,AutoConfigProxy = wininet.dll
    ~ Proxy management: Scanned in 00mn 00s

    —\ Analyse des lignes F0, F1, F2, F3 – IniFiles, Autoloading programs
    F2 – REG:system.ini: USERINIT=C:Windowssystem32userinit.exe,
    F2 – REG:system.ini: Shell=C:Windowsexplorer.exe
    F2 – REG:system.ini: VMApplet=C:WindowsSystem32SystemPropertiesPerformance.exe
    ~ Keys: Scanned in 00mn 00s

    —\ Hosts file redirection (O1)
    O1 – Hosts: 173.212.223.247 http://www.google-analytics.com” onclick=”window.open(this.href);return false;.
    O1 – Hosts: 173.212.223.247 google-analytics.com.
    O1 – Hosts: 173.212.223.247 connect.facebook.net.
    O1 – Hosts: 173.212.223.247 bing.com.
    O1 – Hosts: 173.212.223.247 http://www.bing.com” onclick=”window.open(this.href);return false;.
    O1 – Hosts: 173.212.223.247 gb.bing.com.
    O1 – Hosts: 173.212.223.247 au.bing.com.
    O1 – Hosts: 173.212.223.247 ca.bing.com.
    O1 – Hosts: 94.242.222.115 http://www.google-analytics.com” onclick=”window.open(this.href);return false;.
    O1 – Hosts: 94.242.222.115 google-analytics.com.
    O1 – Hosts: 94.242.222.115 connect.facebook.net.
    O1 – Hosts: 94.242.222.115 bing.com.
    O1 – Hosts: 94.242.222.115 http://www.bing.com” onclick=”window.open(this.href);return false;.
    O1 – Hosts: 94.242.222.115 gb.bing.com.
    O1 – Hosts: 94.242.222.115 au.bing.com.
    O1 – Hosts: 94.242.222.115 ca.bing.com.
    ~ Hosts File: Scanned in 00mn 00s
    ~ Nombre de lignes (Lines number): 236

    —\ Applications lancées au démarrage du système (O4)
    O4 – HKLM..Run: [IgfxTray] . (.Intel Corporation – igfxTray Module.) — C:WINDOWSsystem32igfxtray.exe
    O4 – HKLM..Run: [HotKeysCmds] . (.Intel Corporation – hkcmd Module.) — C:WINDOWSsystem32hkcmd.exe
    O4 – HKLM..Run: [Persistence] . (.Intel Corporation – persistence Module.) — C:WINDOWSsystem32igfxpers.exe
    O4 – HKLM..Run: [SynTPEnh] C:Program Files (x86)SynapticsSynTPSynTPEnh.exe (.not file.)
    O4 – HKLM..Run: [HDSPTray1] . (.RME – Hammerfall DSP Settings.) — C:WindowsSystem32hdsp32.exe
    O4 – HKLM..Run: [HDSPTray2] . (.RME – Hammerfall DSP Mixer.) — C:WindowsSystem32hdspmix.exe
    O4 – HKCU..Run: [DAEMON Tools Lite] . (.Disc Soft Ltd – DAEMON Tools Lite.) — C:Program Files (x86)DAEMON Tools LiteDTLite.exe =>.DT Soft Ltd
    O4 – HKCU..Run: [GoogleChromeAutoLaunch_A5B343D047FD8BD2F268B0EA0F8DBD7C] . (.Google Inc. – Google Chrome.) — C:Program Files (x86)GoogleChromeApplicationchrome.exe
    O4 – HKCU..Run: [Eption] :UsersAdminAppDataLocalEptionlcvtadm.dll (.not file.)
    O4 – HKLM..Wow6432NodeRun: [S6000Mnt] Clé orpheline
    O4 – HKLM..Wow6432NodeRun: [IMSS] . (.Intel Corporation – PIcon startup utility.) — C:Program Files (x86)IntelIntel(R) Management Engine ComponentsIMSSPIconStartup.exe
    O4 – HKLM..Wow6432NodeRun: [HDAudDeck] . (.VIA – VIA HD Audio CPL.) — C:Program Files (x86)VIAVIAudioiVDeckVDeck.exe
    O4 – HKLM..Wow6432NodeRun: [SunJavaUpdateSched] . (.Oracle Corporation – Java(TM) Update Scheduler.) — C:Program Files (x86)Common FilesJavaJava Updatejusched.exe =>.Oracle Corporation
    O4 – HKUSS-1-5-21-771577893-916430460-982458633-1001..Run: [DAEMON Tools Lite] . (.Disc Soft Ltd – DAEMON Tools Lite.) — C:Program Files (x86)DAEMON Tools LiteDTLite.exe =>.DT Soft Ltd
    O4 – HKUSS-1-5-21-771577893-916430460-982458633-1001..Run: [GoogleChromeAutoLaunch_A5B343D047FD8BD2F268B0EA0F8DBD7C] . (.Google Inc. – Google Chrome.) — C:Program Files (x86)GoogleChromeApplicationchrome.exe
    O4 – HKUSS-1-5-21-771577893-916430460-982458633-1001..Run: [Eption] :UsersAdminAppDataLocalEptionlcvtadm.dll (.not file.)
    ~ Application: Scanned in 00mn 00s

    —\ Modification Domaine/Adresses DNS (O17)
    O17 – HKLMSystemCCSServicesTcpip..{05243B59-255E-4FCD-989D-156526C78C04}: NameServer = 8.8.8.8,8.8.8.8 =>.Google DNS Redirections
    O17 – HKLMSystemCCSServicesTcpip..{0DD4D943-E395-4C82-87F6-2CB9456CB377}: NameServer = 8.8.8.8,8.8.8.8 =>.Google DNS Redirections
    O17 – HKLMSystemCCSServicesTcpip..{8718928D-CBEB-45EA-A621-800A9249001D}: NameServer = 8.8.8.8,8.8.8.8 =>.Google DNS Redirections
    O17 – HKLMSystemCCSServicesTcpip..{E5EE8522-107D-4AC9-87AA-FE22C4260020}: NameServer = 8.8.8.8,8.8.8.8 =>.Google DNS Redirections
    O17 – HKLMSystemCCSServicesTcpip..{0DD4D943-E395-4C82-87F6-2CB9456CB377}: DhcpNameServer = 89.2.0.1 89.2.0.2
    O17 – HKLMSystemCCSServicesTcpip..{E5EE8522-107D-4AC9-87AA-FE22C4260020}: DhcpNameServer = 192.168.0.1
    O17 – HKLMSystemCCSServicesTcpip..{0DD4D943-E395-4C82-87F6-2CB9456CB377}: DhcpDomain = numericable.fr
    O17 – HKLMSystemCCSServicesTcpip..{E5EE8522-107D-4AC9-87AA-FE22C4260020}: DhcpDomain = localdomain
    O17 – HKLMSystemCS1ServicesTcpip..{05243B59-255E-4FCD-989D-156526C78C04}: NameServer = 8.8.8.8,8.8.8.8 =>.Google DNS Redirections
    O17 – HKLMSystemCS1ServicesTcpip..{0DD4D943-E395-4C82-87F6-2CB9456CB377}: NameServer = 8.8.8.8,8.8.8.8 =>.Google DNS Redirections
    O17 – HKLMSystemCS1ServicesTcpip..{8718928D-CBEB-45EA-A621-800A9249001D}: NameServer = 8.8.8.8,8.8.8.8 =>.Google DNS Redirections
    O17 – HKLMSystemCS1ServicesTcpip..{E5EE8522-107D-4AC9-87AA-FE22C4260020}: NameServer = 8.8.8.8,8.8.8.8 =>.Google DNS Redirections
    O17 – HKLMSystemCS1ServicesTcpip..{0DD4D943-E395-4C82-87F6-2CB9456CB377}: DhcpNameServer = 89.2.0.1 89.2.0.2
    O17 – HKLMSystemCS1ServicesTcpip..{E5EE8522-107D-4AC9-87AA-FE22C4260020}: DhcpNameServer = 192.168.0.1
    O17 – HKLMSystemCS1ServicesTcpip..{0DD4D943-E395-4C82-87F6-2CB9456CB377}: DhcpDomain = numericable.fr
    O17 – HKLMSystemCS1ServicesTcpip..{E5EE8522-107D-4AC9-87AA-FE22C4260020}: DhcpDomain = localdomain
    O17 – HKLMSystemCCSServicesTcpipParameters: DhcpNameServer = 89.2.0.1 89.2.0.2
    ~ Domain: Scanned in 00mn 00s

    —\ Protocole additionnel (O18)
    O18 – Handler: vbscript [64Bits] – {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} . (.Microsoft Corporation – Visionneuse HTML Microsoft (R).) — C:WindowsSystem32mshtml.dll =>.Microsoft Corporation
    O18 – Filter: application/x-msdownload [64Bits] – {1E66F26B-79EE-11D2-8710-00C04F79ED0D} . (.Microsoft Corporation – Microsoft .NET Runtime Execution Engine.) — C:WindowsSystem32mscoree.dll =>.Microsoft Corporation
    ~ Protocole Additionnel: Scanned in 00mn 00s

    —\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)
    O20 – Winlogon Notify: igfxcui . (.Intel Corporation – igfxdev Module.) — C:WindowsSystem32igfxdev.dll
    ~ Winlogon: Scanned in 00mn 00s

    —\ Liste des services NT non Microsoft et non désactivés (O23)
    O23 – Service: PowerBiosServer (PowerBiosServer) . (.Pas de propriétaire – PowerBiosServer.) – C:Program Files (x86)HotkeyPowerBiosServer.exe
    ~ Services: 10 Legitimates Filtered in 00mn 27s

    —\ Tâches planifiées en automatique (O39)
    O39 – APT: – (..) — C:WindowsSystem32TasksGoogleUpdateTaskMachineCore [1074]
    O39 – APT: – (..) — C:WindowsSystem32TasksGoogleUpdateTaskMachineUA [1078]
    ~ Scheduled Task: 5 Legitimates Filtered in 00mn 01s

    —\ Logiciels installés (O42)
    O42 – Logiciel: Lexicon PSP 42 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — Lexicon PSP 42 64bit
    O42 – Logiciel: Mixed In Key 5 – (.Mixed In Key LLC.) [HKLM][64Bits] — {10923B2E-A2E3-4561-85A6-3A0CC4EFB5DC}
    O42 – Logiciel: PSP 608 MultiDelay 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP 608 MultiDelay 64bit
    O42 – Logiciel: PSP 85 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP 85 64bit
    O42 – Logiciel: PSP BussPressor 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP BussPressor 64bit
    O42 – Logiciel: PSP EasyVerb 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP EasyVerb 64bit
    O42 – Logiciel: PSP Echo 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP Echo 64bit
    O42 – Logiciel: PSP N2O 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP N2O 64bit
    O42 – Logiciel: PSP Neon 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP Neon 64bit
    O42 – Logiciel: PSP NobleQ 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP NobleQ 64bit
    O42 – Logiciel: PSP StereoPack 1.9.8 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP StereoPack 1.9.8 64bit
    O42 – Logiciel: PSP VintageWarmer2 2.5.2 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP VintageWarmer2 2.5.2 64bit
    O42 – Logiciel: PSP Xenon 1.3.0 64bit – (.PSPaudioware.com.) [HKLM][64Bits] — PSP Xenon 1.3.0 64bit
    O42 – Logiciel: RME DIGICheck – (.RME.) [HKLM][64Bits] — {872BD2A4-7CB6-4692-A74E-99ABA11DED75}
    ~ Logic: 40 Legitimates Filtered in 00mn 00s

    —\ HKCU & HKLM Software Keys
    [HKCUSoftwareAcusticaudio]
    [HKCUSoftwareDesk]
    [HKCUSoftwareEption]
    [HKCUSoftwareFlux:: sound and picture development]
    [HKCUSoftwareNuEdge Development]
    [HKCUSoftwarePSP-audioware]
    [HKCUSoftwaredWnEsA]
    [HKLMSoftwareWow6432NodeDiscord 3]
    [HKLMSoftwareWow6432NodedWnEsA]
    ~ Key Software: 283 Legitimates Filtered in 00mn 00s

    —\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
    O43 – CFD: 09/05/2013 – 20:38:53 – [] —-D C:Program Files (x86)Mixed In Key 5
    O43 – CFD: 26/06/2014 – 09:05:30 – [] –H-D C:ProgramData{ACF12395-778E-44F0-A811-C99F334A83F5}
    O43 – CFD: 26/06/2014 – 09:04:23 – [] –H-D C:ProgramData{BD26D777-CA21-4BDD-A581-6BCFE4F0F941}
    O43 – CFD: 29/06/2014 – 12:00:47 – [] –H-D C:ProgramData{C5CAF473-C900-4049-BCE5-A93E0EBA7EF2}
    O43 – CFD: 26/06/2014 – 09:04:10 – [] –H-D C:ProgramData{C6A355F5-168B-4EEC-AB7C-75594F783EDB}
    O43 – CFD: 25/06/2014 – 13:57:13 – [0] —-D C:ProgramData{D2C12600-1639-405E-BBA9-ED45C0EA0333}
    O43 – CFD: 27/07/2013 – 10:30:21 – [] —-D C:UsersAdminAppDataRoamingLoomer
    O43 – CFD: 09/05/2013 – 20:19:34 – [] —-D C:UsersAdminAppDataRoamingMixed In Key LLC
    O43 – CFD: 24/06/2014 – 21:12:19 – [] —-D C:UsersAdminAppDataRoamingRapidComposer
    O43 – CFD: 07/12/2013 – 18:52:21 – [] —-D C:UsersAdminAppDataRoamingTokyo Dawn Labs
    O43 – CFD: 01/07/2014 – 10:35:43 – [0] —-D C:UsersAdminAppDataRoamingUvituvz
    O43 – CFD: 25/05/2014 – 13:34:37 – [] —-D C:UsersAdminAppDataLocalBitwig Studio
    O43 – CFD: 07/12/2013 – 18:32:07 – [0] —-D C:UsersAdminAppDataLocalDC1A
    O43 – CFD: 26/06/2014 – 21:43:28 – [] —-D C:UsersAdminAppDataLocalEption
    O43 – CFD: 09/05/2013 – 20:20:26 – [] —-D C:UsersAdminAppDataLocalMixed In Key
    O43 – CFD: 09/05/2013 – 20:20:26 – [] —-D C:UsersAdminAppDataLocalMixed_In_Key_LLC
    O43 – CFD: 24/06/2014 – 21:31:47 – [0] —-D C:UsersAdminAppDataLocalRME DIGICheck
    O43 – CFD: 24/06/2014 – 21:32:22 – [] —-D C:UsersAdminAppDataLocalRME TotalMix
    O43 – CFD: 21/05/2014 – 23:57:18 – [] —-D C:UsersAdminAppDataRoamingMicrosoftWindowsStart MenuProgramsAcustica Audio
    O43 – CFD: 26/04/2014 – 10:20:45 – [] —-D C:UsersAdminAppDataRoamingMicrosoftWindowsStart MenuProgramsLoomer
    ~ Program Folder: 164 Legitimates Filtered in 00mn 00s

    —\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
    O44 – LFC:[MD5.FCBF08AC065E1F19D21E88ACCBF9B698] – 24/06/2014 – 20:29:24 —A- . (…) — C:WindowsSystem32hdsp.inf [125927]
    O44 – LFC:[MD5.E007618882D9EEA1D798B823135BC506] – 24/06/2014 – 20:29:24 —A- . (.RME – Hammerfall DSP ASIO.) — C:WindowsSystem32hdspasio_64.dll [36864]
    O44 – LFC:[MD5.40373A39D69E5738991C776275092311] – 24/06/2014 – 20:29:24 —A- . (.RME – Hammerfall DSP Mixer.) — C:WindowsSystem32hdspmix.exe [1161216]
    O44 – LFC:[MD5.A42F0A103507636B3F0F9CC1DCDD5F53] – 24/06/2014 – 20:29:24 —A- . (.RME – Hammerfall DSP Settings.) — C:WindowsSystem32hdsp32.exe [650240]
    O44 – LFC:[MD5.8707DD8A82D8BEBB72EA4689FF9297B0] – 24/06/2014 – 20:29:24 —A- . (.RME – Hammerfall DSP.) — C:WindowsSystem32Drivershdsp.sys [70144]
    O44 – LFC:[MD5.C5E3F3D96FF9952C5BAB1D4338A22E0C] – 24/06/2014 – 20:29:24 —A- . (.RME – Hammerfall DSP.) — C:WindowsSystem32Drivershdsp_64.sys [103936]
    O44 – LFC:[MD5.782C7C427F4FFDFD8D1357EE433D3CE6] – 24/06/2014 – 20:29:46 —A- . (…) — C:WindowsDPINST.LOG [38236]
    O44 – LFC:[MD5.8A615F0E1A02E953025A418D3AC7C49D] – 26/06/2014 – 18:19:09 —A- . (…) — C:WindowsSQ.INI [55]
    O44 – LFC:[MD5.F92ED8FC5BD36046C521A664BA4F2C17] – 26/06/2014 – 18:33:30 —A- . (.Putzlowitsch – Pas de description.) — C:WindowsSystem32PLWMidiMap.cpl [58880]
    O44 – LFC:[MD5.655449E53F9F4DA07921DD3683F20AAD] – 28/06/2014 – 19:36:11 —A- . (…) — C:WindowsPSP 85 Setup Log.txt [9025]
    O44 – LFC:[MD5.0A34066D56D57C0DA73BFFC1E4169FF2] – 29/06/2014 – 18:03:08 —A- . (…) — C:Windowswininit.ini [85]
    O44 – LFC:[MD5.65012A4E12350EBE17B32F02ACFB32D0] – 29/06/2014 – 20:53:15 R–A- . (…) — C:Pre_Scan_29_06_2014_21_53_15.txt [26913]
    ~ Files: 26 Legitimates Filtered in 00mn 01s

    —\ Derniers fichiers créés dans Windows Prefetcher (O45)
    O45 – LFCP:[MD5.58BB9B85772A05727FFB457E3907412A] – 01/07/2014 – 07:39:27 —A- – C:WindowsPrefetchUTORRENT.EXE-7D3218B8.pf =>P2P.µTorrent
    ~ Prefetcher: 1 Legitimates Filtered in 00mn 00s

    —\ Enumération des clés de registre PoliciesSystem (MWPS) (O55)
    O55 – MWPS:[HKLM…PoliciesSystem] – “PromptOnSecureDesktop”=0
    O55 – MWPS:[HKLM…PoliciesSystem] – “EnableLUA”=0
    O55 – MWPS:[HKLM…PoliciesSystem] – “EnableUIADesktopToggle”=0
    O55 – MWPS:[HKLM…PoliciesSystem] – “FilterAdministratorToken”=0
    ~ MWPS: 17 Legitimates Filtered in 00mn 00s

    —\ Liste des pilotes du système (SDL) (O58)
    O58 – SDL:13/08/2013 – 00:25:46 —A- . (.Windows (R) Win 7 DDK provider – BCM Function 2 Device Driver.) — C:WindowsSystem32Driversbcmfn2.sys [17624]
    O58 – SDL:24/06/2014 – 20:29:24 —A- . (.RME – Hammerfall DSP.) — C:WindowsSystem32Drivershdsp.sys [70144]
    O58 – SDL:24/06/2014 – 20:29:24 —A- . (.RME – Hammerfall DSP.) — C:WindowsSystem32Drivershdsp_64.sys [103936]
    O58 – SDL:17/11/2012 – 06:24:04 —A- . (.Pas de propriétaire – iLok Kernel Driver File.) — C:WindowsSystem32DriversiLokDrvr.sys [24728]
    O58 – SDL:12/07/2012 – 14:14:06 —A- . (.Windows (R) Win 7 DDK provider – AVStream Simulated Hardware Sample.) — C:WindowsSystem32DriversS6000KNT.sys [3555456]
    O58 – SDL:22/08/2013 – 13:43:32 —A- . (.Promise Technology, Inc. – Promise SuperTrak EX Series Driver for Windows x64.) — C:WindowsSystem32Driversstexstor.sys [31072]
    ~ Drivers: 51 Legitimates Filtered in 00mn 00s

    —\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
    O61 – LFC: 01/07/2014 – 11:00:46 —A- . (…) — C:UsersAdminAppDataLocalMicrosoftWindowsINetCacheIEMS1QX93Tsetup[1].exe [8890]
    O61 – LFC: 01/07/2014 – 11:00:46 —A- . (.SQLite Development Team.) — C:UsersAdminAppDataLocalMicrosoftWindowsINetCacheIEXJC3B0U5SQLite3_300700200[1].dll [536576]
    O61 – LFC: 01/07/2014 – 11:00:47 —A- . (…) — C:UsersAdminDesktopadwcleaner_3.214.exe [1346519]
    O61 – LFC: 26/06/2014 – 11:00:45 —A- . (…) — C:UsersAdminAppDataLocalEptionlcvtadm.dll [813568]
    O61 – LFC: 26/06/2014 – 11:00:47 —A- . (.$Co_Name Inc..) — C:UsersAdminDownloadsunifying250.exe [4147600]
    O61 – LFC: 28/06/2014 – 11:00:47 —A- . (…) — C:UsersAdminDownloadsmfreeeffectsbundle64_8_03_setup.exe [84266290]
    O61 – LFC: 29/06/2014 – 11:00:45 —A- . (…) — C:UsersAdminAppDataLocalGoogleChromeUser Datanacl_validation_cache.bin [164]
    O61 – LFC: 29/06/2014 – 11:00:47 —A- . (…) — C:UsersAdminDesktopPre_Scan.exe [2614272]
    O61 – LFC: 29/06/2014 – 11:00:47 —A- . (…) — C:UsersAdminDesktopjruu3kl1.exe [151528640]
    ~ 19 Fichiers temporaires (Temporary files)
    ~ Files: 20 Legitimates Filtered in 00mn 02s

    —\ Fichiers Alternate Data Stream (ADS) (O62)
    O62 – ADS:Alternate Data Stream File – C:WindowsSystem32PLWMidiMap.cpl:Zone.Identifier
    ~ ADS: Scanned in 00mn 00s

    —\ Liste des outils de désinfection (LATC) (O63)
    O63 – Logiciel: UsbFix – (.El Desaparecido – http://www.usbfix.net” onclick=”window.open(this.href);return false; – https://www.sosvirus.net.)” onclick=”window.open(this.href);return false; [HKLM] — Usbfix
    O63 – Logiciel: ZHPDiag 2014 – (.Nicolas Coolman.) [HKLM] — ZHPDiag_is1 =>.Nicolas Coolman
    O63 – Logiciel: OTL – (.OldTimer.)
    ~ ADS: Scanned in 00mn 00s

    —\ Associations Shell Spawning (O67)
    O67 – Shell Spawning: < .html> [HKCU..openCommand] (.Not Key.)
    ~ FASS Keys: 11 Legitimates Filtered in 00mn 00s

    —\ Menu de démarrage Internet (SMI) (O68)
    O68 – StartMenuInternet: [HKLM..ShellopenCommand] (.Google Inc. – Google Chrome.) — C:Program Files (x86)GoogleChromeApplicationchrome.exe
    O68 – StartMenuInternet: [HKLM..ShellopenCommand] (.Microsoft Corporation – Internet Explorer.) — C:Program Files (x86)Internet Exploreriexplore.exe
    ~ Keys: Scanned in 00mn 00s

    —\ Recherche d'infection sur les navigateurs internet (SBI) (O69)
    O69 – SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} – (Bing) – http://www.bing.com” onclick=”window.open(this.href);return false;
    ~ Keys: Scanned in 00mn 00s

    —\ Enumère les fichiers Crack & Keygen (CKF) (O82)
    C:vstpluginsSynthPodolski.dataPresetsPodolskiLegacyVariousCyberCrackle.h2p =>.Crack,Keygen
    C:vstpluginsSynthPodolski.dataPresetsPodolskiLegacyVariousCyberCrackle.h2p =>.Crack,Keygen
    ~ Files: Scanned in 00mn 11s

    —\ Recherche particulière à la racine du système (SPRF) (O84)
    [MD5.3F98E2E1032EB50D927DFBF82C59214B] [SPRF][01/07/2014] (…) — C:UsersAdminDesktopadwcleaner_3.214.exe [1346519]
    [MD5.513D270678DAA215C06AAC55B68B5AF8] [SPRF][28/02/2012] (.Thesycon GmbH – DPC Latency Checker.) — C:UsersAdminDesktopdpclat.exe [301688]
    [MD5.30D881C8585AF879BE0B4E4058383947] [SPRF][29/06/2014] (…) — C:UsersAdminDesktopjruu3kl1.exe [151528640]
    [MD5.ACC5F25A1CA12B1E03841B466558F888] [SPRF][29/06/2014] (…) — C:UsersAdminDesktopPre_Scan.exe [2614272]
    ~ Files: 6 Legitimates Filtered in 00mn 00s

    —\ Liste des exceptions du parefeu (FirewallRules) (O87)
    O87 – FAEL: “{A9B20059-28D4-424D-A23F-0B5365DC0542}” | In – None – P6 – TRUE | .(.BitTorrent Inc. – µTorrent.) — C:UsersAdminAppDataRoaminguTorrentuTorrent.exe =>P2P.BitTorrent
    O87 – FAEL: “{1454762D-37A2-4D8B-97AA-1C1F1601C9E9}” | In – None – P17 – TRUE | .(.BitTorrent Inc. – µTorrent.) — C:UsersAdminAppDataRoaminguTorrentuTorrent.exe =>P2P.BitTorrent
    ~ Firewall: 2 Legitimates Filtered in 00mn 00s

    —\ Enumère les données de la clé NameSpace (MNS) (O92)
    O92 – MNS: – {1CF1260C-4DD0-4ebb-811F-33C572699FDE}
    O92 – MNS: – {374DE290-123F-4565-9164-39C4925E467B}
    O92 – MNS: – {3ADD1653-EB32-4cb0-BBD7-DFA0ABB5ACCA}
    O92 – MNS: – {A0953C92-50DC-43bf-BE83-3742FED03C9C}
    O92 – MNS: – {A8CDFF1C-4878-43be-B5FD-F8091C1C60D0}
    O92 – MNS: – {B4BFCC3A-DB2C-424C-B029-7FE99A87C641}
    ~ MNS: 6 Legitimates Filtered in 00mn 00s

    —\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
    SS – | Demand 25/01/2014 279000 | (cphs) . (.Intel Corporation.) – C:WindowsSysWow64IntelCpHeciSvc.exe
    SS – | Auto 17/05/2014 116648 | (gupdate) . (.Google Inc..) – C:Program Files (x86)GoogleUpdateGoogleUpdate.exe
    SS – | Demand 17/05/2014 116648 | (gupdatem) . (.Google Inc..) – C:Program Files (x86)GoogleUpdateGoogleUpdate.exe
    SS – | Demand 10/07/1658 0 | (WMPNetworkSvc) . (…) – C:Program Files (x86)Windows Media Playerwmpnetwk.exe =>.Microsoft Corporation
    SS – | Demand 22/08/2013 37768 | C:WindowsSystem32wuaueng.dll (wuauserv) . (.Microsoft Corporation.) – C:WindowsSystem32svchost.exe
    SR – | Auto 21/11/2012 2571704 | (CodeMeter.exe) . (.WIBU-SYSTEMS AG.) – C:Program Files (x86)CodeMeterRuntimebinCodeMeter.exe
    SR – | Auto 19/06/2012 634632 | (Intel(R) Capability Licensing Service Interface) . (.Intel(R) Corporation.) – C:Program FilesInteliCLS ClientHeciServer.exe
    SR – | Auto 19/07/2012 166720 | (jhi_service) . (.Intel Corporation.) – C:Program Files (x86)IntelIntel(R) Management Engine ComponentsDALjhi_service.exe
    SR – | Auto 19/07/2012 277824 | (LMS) . (.Intel Corporation.) – C:Program Files (x86)IntelIntel(R) Management Engine ComponentsLMSLMS.exe
    SR – | Auto 23/01/2014 11936560 | (NIHardwareService) . (.Native Instruments GmbH.) – C:Program FilesCommon FilesNative InstrumentsHardwareNIHardwareService.exe
    SR – | Auto 18/05/2012 2938880 | (PaceLicenseDServices) . (.PACE Anti-Piracy, Inc..) – C:Program Files (x86)Common FilesPACEServicesLicenseServicesLDSvc.exe
    SR – | Auto 05/11/2012 46080 | (PowerBiosServer) . (…) – C:Program Files (x86)HotkeyPowerBiosServer.exe
    SR – | Auto 19/07/2012 365376 | (UNS) . (.Intel Corporation.) – C:Program Files (x86)IntelIntel(R) Management Engine ComponentsUNSUNS.exe
    SR – | Auto 14/08/2012 27792 | (VIAKaraokeService) . (.VIA Technologies, Inc..) – C:WindowsSystem32viakaraokesrv.exe
    SR – | Demand 10/07/1658 0 | (WdNisSvc) . (…) – C:Program Files (x86)Windows DefenderNisSrv.exe
    SR – | Auto 10/07/1658 0 | (WinDefend) . (…) – C:Program Files (x86)Windows DefenderMsMpEng.exe
    ~ Services: Scanned in 00mn 05s

    —\ Recherche d'infection sur le Master Boot Record (MBR)(O80)
    Run by Admin at 01/07/2014 11:01:10
    ~ OS 64 not supported by MBR tool
    ~ MBR: 0 Legitimates Filtered in 00mn 00s

    —\ Recherche d'infection sur le Master Boot Record (MBRCheck)(O80)
    Written by ad13, http://ad13.geekstog” onclick=”window.open(this.href);return false;
    Run by Admin at 01/07/2014 11:01:12
    ********* Dump file Name *********
    C:PhysicalDisk0_MBR.bin
    ~ MBR: Scanned in 00mn 02s

    —\ Scan Additionnel (O88)
    Database Version : 13026 – (30/06/2014)
    Clés trouvées (Keys found) : 0
    Valeurs trouvées (Values found) : 0
    Dossiers trouvés (Folders found) : 0
    Fichiers trouvés (Files found) : 0

    ~ Additionnel Scan: 422303 Items scanned in 00mn 13s

    —\ Informations complémentaires sur les modules
    ~ http://nicolascoolman.fr/g2-google-chrome-extensions/” onclick=”window.open(this.href);return false; =>.Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
    ~ http://nicolascoolman.fr/r5-internet-explorer-proxy-management-iepm/” onclick=”window.open(this.href);return false; =>.Internet Explorer, Proxy Management (R5)
    ~ http://nicolascoolman.fr/o4-applications-demarrees-par-le-registre/” onclick=”window.open(this.href);return false; =>.Applications lancées au démarrage du système (O4)
    ~ AMI: 3 Legitimates Filtered in 00mn 00s

    —\ Récapitulatif des détections trouvées sur votre station
    ~ MSI: 0 link(s) detected in 00mn 00s

    ~ 663 Legitimates filtered by white list
    End of the scan (497 lines in 01mn 25s)(2)[/spoiler:1ijhgivj]

  • Photo du profil de Batch_ManBatch_Man
    Participant
    Post count: 33

    Bonjour,

    g3n-h@ckm@​n (la personne qui t’a aidé sur 01.net) est un des membres de la team SOSVirus.
    Je ne sais pas pourquoi il t’as plus répondu depuis le 29 Juin, mais je ne pense pas que se soit volontaire, il n’abandonne jamais.

    Par conséquence je te propose d’attendre son retour, soit sur 01.net soit ici où il viendra prendre en charge la fin de la désinfection.
    Dans le cas où il serait indisponible je viendrais prendre alors la suite de la désinfection.

    A bientôt.

  • Photo du profil de nscott32nscott32
    Participant
    Post count: 8

    C’est d’accord, merci :)

  • Photo du profil de Batch_ManBatch_Man
    Participant
    Post count: 33

    Bonsoir,

    Comme g3n-h@ckm@​n n’ai pas encore revenu, je prends la suite.

    Fais attention à l’espace qui reste sur ta partition principale ça commence à être peu:

    System drive C: has 18 GB (13%) free of 129 GB

    Une question, tu as modifié ton fichier hosts ou remplacé le fichier original par fichier hosts modifié ?

    A bientôt.

  • Photo du profil de nscott32nscott32
    Participant
    Post count: 8

    Oui, je viens d’ailleurs d’acheter un disque externe pour ne garder que mes documents sur celui-ci (mon autre était plein, j’ai rempli mon disque principal en l’espace d’une semaine).
    Par contre je suis bloqué car dès qu’explorer s’actualise (toutes les minutes, les copies de fichiers s’arrêtent…

    Le fichier host? Qu’est-ce que c’est?

    Je viens de remarquer un nouveau symptôme: lors de l’ouverture d’un pdf j’obtiens le message d’erreur “Impossible d’activer cette applicaton lorsque le contrôle des de compte d’utilisateur est désactivé.” :shocked:

  • Photo du profil de nscott32nscott32
    Participant
    Post count: 8

    J’ai booté sur un liveusb F-secure, il a détécté 6 fichiers infectés du type trojan (aquarius).
    Les symptômes sur explorer ont disparu, cependant tout n’est pas “clean”… (Notamment la base de registre)

    Je suis en plein scan malwarebytes, il a détecté 13 problèmes!
    Bon, je crois que certains sont nouveau, venant d’un setup 01net. Je voulais installer CCleaner pour nettoyer la base de registre le setup proposais plein de malware et j’en ai chopé par inattention, merci quand même à 01net…

    Voici le résultat du scan MalwareBytes:
    [spoiler:fcr010wg][/spoiler:fcr010wg]

    Au redémarrage après scan j’obtiens un message d’erreur du processus RegSvr32 :
    “échec du chargement du module ‘C:UsersAdminAppDataLocalEptionIcvtadm.dll’
    Vérifiez que le fichier binaire est stocké à l’emplacement désigné par le chemin d’accès spécifié ou déboguez-le pour rechercher d’éventuels problèmes de fichiers .DLL binaires ou dépendants.

    Le module spécifié est introuvable.
    .”

  • Photo du profil de Batch_ManBatch_Man
    Participant
    Post count: 33

    Bonjour,

    Je ne te laisse pas tombé j’ai juste pas trop de temps pour veiller sur Internet en ce moment.

    Tu pourrais me donner le rapport de F-Secure si tu en as un ?

    De même je n’arrive pas à voir le rapport de MalwaresBytes tu veux bien le reposer stp.

    :bye:

  • Photo du profil de nscott32nscott32
    Participant
    Post count: 8

    Je n’ai pas de log f-secure, je te renvoie quand même le scan de Malwarebytes:
    [spoiler:10m6bft2]Malwarebytes Anti-Malware
    http://www.malwarebytes.org” onclick=”window.open(this.href);return false;

    Scan Date: 02/07/2014
    Scan Time: 20:56:34
    Logfile: mbam.txt
    Administrator: Yes

    Version: 2.00.2.1012
    Malware Database: v2014.07.02.06
    Rootkit Database: v2014.07.01.01
    License: Free
    Malware Protection: Disabled
    Malicious Website Protection: Disabled
    Self-protection: Disabled

    OS: Windows 8.1
    CPU: x64
    File System: NTFS
    User: Admin

    Scan Type: Threat Scan
    Result: Completed
    Objects Scanned: 317456
    Time Elapsed: 4 min, 1 sec

    Memory: Enabled
    Startup: Enabled
    Filesystem: Enabled
    Archives: Enabled
    Rootkits: Disabled
    Heuristics: Enabled
    PUP: Enabled
    PUM: Enabled

    Processes: 0
    (No malicious items detected)

    Modules: 0
    (No malicious items detected)

    Registry Keys: 4
    PUP.Optional.MySearchDial.A, HKUS-1-5-21-771577893-916430460-982458633-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREMICROSOFTINTERNET EXPLORERSEARCHSCOPES{77AA745B-F4F8-45DA-9B14-61D2D95054C8}, Quarantined, [645a4a5080fbde58e3a9fd4dc83a966a],
    PUP.Optional.MySearchDial.A, HKLMSOFTWAREMICROSOFTINTERNET EXPLORERSEARCHSCOPES{77AA745B-F4F8-45DA-9B14-61D2D95054C8}, Quarantined, [645a4a5080fbde58e3a9fd4dc83a966a],
    PUP.Optional.InstallCore.A, HKUS-1-5-21-771577893-916430460-982458633-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREINSTALLCORE1I1T1Q1S, Quarantined, [9d219703097269cd22925d7817eb3ac6],
    PUP.Optional.InstallCore.A, HKUS-1-5-21-771577893-916430460-982458633-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREINSTALLCORE, Quarantined, [b40a6c2e0a71fc3a6562d71417eccc34],

    Registry Values: 1
    PUP.Optional.InstallCore.A, HKUS-1-5-21-771577893-916430460-982458633-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREINSTALLCORE|tb, 0S0TzrtN0V1M1O1H, Quarantined, [b40a6c2e0a71fc3a6562d71417eccc34]

    Registry Data: 1
    PUP.Optional.RocketFind.A, HKUS-1-5-21-771577893-916430460-982458633-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWAREMICROSOFTINTERNET EXPLORERMAIN|Start Page, http://rocket-find.com/?f=1&a=rckt_tele_14_27_ch&cd=2XzuyEtN2Y1L1QzutA0C0Azy0FyEtDtD0ByC0ByDyByB0F0BtN0D0Tzu0SzytCyEtN1L2XzutBtFtBtCtFtCtCtFtCtN1L1CzutCyEtBzytDyD1V1QtN1L1G1B1V1N2Y1L1Qzu2StBtBtD0EtAtB0EyDtGyB0FyCtBtGyCtA0C0CtG0E0C0EzztGtC0D0DzzyCyCzy0ByByD0F0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0FzzzztCtAtAtCtG0A0AyEyEtGyEtDyByEtGtCtAzztBtGtByE0FtDzytBzyzztA0AtC0A2Q&cr=72573878&ir=” onclick=”window.open(this.href);return false;, Good: (www.google.com), Bad: (http://rocket-find.com/?f=1&a=rckt_tele_14_27_ch&cd=2XzuyEtN2Y1L1QzutA0C0Azy0FyEtDtD0ByC0ByDyByB0F0BtN0D0Tzu0SzytCyEtN1L2XzutBtFtBtCtFtCtCtFtCtN1L1CzutCyEtBzytDyD1V1QtN1L1G1B1V1N2Y1L1Qzu2StBtBtD0EtAtB0EyDtGyB0FyCtBtGyCtA0C0CtG0E0C0EzztGtC0D0DzzyCyCzy0ByByD0F0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0FzzzztCtAtAtCtG0A0AyEyEtGyEtDyByEtGtCtAzztBtGtByE0FtDzytBzyzztA0AtC0A2Q&cr=72573878&ir=),Replaced,[56683b5f7803cf674db77a0c4aba7e82]

    Folders: 1
    PUP.Optional.RocketFind.A, C:UsersAdminAppDataRoamingRocketUpdaterUpdateProc, Quarantined, [e9d5cfcb205b6ec86ee3991599694cb4],

    Files: 6
    PUP.Optional.InstallCore.A, C:UsersAdminAppDataLocalTempICReinstall_ccsetup415.exe, Quarantined, [05b9fb9f9fdc1a1c17f8086fa85cfc04],
    PUP.Optional.InstallCore.A, C:UsersAdminDownloadsccsetup415.exe, Quarantined, [2a94a5f5700b83b3af60babdb153bc44],
    PUP.Optional.RocketFind.A, C:UsersAdminAppDataRoamingRocketUpdaterUpdateProcconfig.dat, Quarantined, [e9d5cfcb205b6ec86ee3991599694cb4],
    PUP.Optional.RocketFind.A, C:UsersAdminAppDataRoamingRocketUpdaterUpdateProcinfo.dat, Quarantined, [e9d5cfcb205b6ec86ee3991599694cb4],
    PUP.Optional.RocketFind.A, C:UsersAdminAppDataRoamingRocketUpdaterUpdateProcUpdateTask.exe, Quarantined, [e9d5cfcb205b6ec86ee3991599694cb4],
    PUP.Optional.RocketFind.A, C:UsersAdminAppDataLocalGoogleChromeUser DataDefaultPreferences, Good: (), Bad: ( “startup_urls”: [ “http://rocket-find.com/?f=7&a=rckt_tele_14_27_ch&cd=2XzuyEtN2Y1L1QzutA0C0Azy0FyEtDtD0ByC0ByDyByB0F0BtN0D0Tzu0SzytCyEtN1L2XzutBtFtBtCtFtCtCtFtCtN1L1CzutCyEtBzytDyD1V1QtN1L1G1B1V1N2Y1L1Qzu2StBtBtD0EtAtB0EyDtGyB0FyCtBtGyCtA0C0CtG0E0C0EzztGtC0D0DzzyCyCzy0ByByD0F0B2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyB0FzzzztCtAtAtCtG0A0AyEyEtGyEtDyByEtGtCtAzztBtGtByE0FtDzytBzyzztA0AtC0A2Q&cr=72573878&ir=” ],), Replaced,[407ee3b7e794da5c138e803e83818977]

    Physical Sectors: 0
    (No malicious items detected)

    (end)[/spoiler:10m6bft2]
    Je ne comprend pas pourquoi je n’arrive pas à booté sur le liveusb de dr web, le chargement bloque sur un fichier dès le début.

    En tout cas merci de ne pas m’oublier.

  • Photo du profil de Batch_ManBatch_Man
    Participant
    Post count: 33

    Bonsoir,

    Tu n’as plus de rechargement d’explorer ? En tout cas dans la base de registre rien de méchant, uniquement la cochonnerie que t’a installé l’installateur de 01.net (ne télécharge plus rien sur ce site).

    Pour les PDF il te suffit de faire ça:

    http://www.wordetweb.com/word-et-web/Securite-informatique-regles-activez-UAC-FR.htm” onclick=”window.open(this.href);return false;

    De redémarrer le PC et d’essayer d’ouvrir de nouveau le PDF.

    Pour Dr.Web c’est peut-être le fichier ISO qui ne s’est pas correctement téléchargé ou bien la gravure / flashage sur clé qui ne c’est pas bien passé.

    Des questions ou bien d’autres problèmes ?

  • Photo du profil de nscott32nscott32
    Participant
    Post count: 8

    OK, j’ai remis l’UAC.
    Donc à priori je n’ai plus rien?

  • Photo du profil de Batch_ManBatch_Man
    Participant
    Post count: 33

    Si pour toi il n’y a plus aucun problème, je ne vois plus rien sur les rapports non plus.

    Dans ce cas je te donnerai les dernières instructions.

    N’hésite pas à me signaler toute anomalie.

  • Photo du profil de nscott32nscott32
    Participant
    Post count: 8

    Sauf le message au démarrage, ça à l’air d’aller bien.

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8313

    Salut vu que Batch_man est occupé ce matin je reprends le flambeau :)

    • Copie le script ci dessous :
      HKCUSoftware
      HKLMSoftware
      HKCUSoftwareMicrosoftCommand Processor /s
      HKLMSoftwareMicrosoftCommand Processor /s
      %Homedrive%*
      %Homedrive%*.
      %Userprofile%*
      %Userprofile%*.
      %Allusersprofile%*
      %Allusersprofile%*.
      %LocalAppData%*
      %LocalAppData%*.
      %Userprofile%Local SettingsApplication Data*
      %Userprofile%Local SettingsApplication Data*.
      %Userprofile%AppDataLocalGoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects*
      %Userprofile%AppDataLocalGoogleChromeUser DataDefaultPepper DataShockwave FlashWritableRoot#SharedObjects*.
      %programFiles%*
      %programfiles%GoogleDesktop*. /s
      %programFiles%*.
      %Systemroot%Installer*.
      %Systemroot%Temp*.exe /s
      %systemroot%system32*.dll /lockedfiles
      %systemroot%system32*.exe /lockedfiles
      %systemroot%system32*.in*
      %systemroot%Tasks*
      %systemroot%Tasks*.
      %systemroot%system32Tasks*
      %systemroot%system32Tasks*.
      %systemroot%system32drivers*.sy* /lockedfiles
      %systemroot%system32config*.exe /s
      %Systemroot%ServiceProfiles*.exe /s
      %systemroot%system32*.sys
      dir %Homedrive%* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT

    • Télécharge OTL (by OldTimer) sur ton bureau.
    • Lance OTL, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

    • Coche/Sélectionne les cases comme l’image ci dessous

    • Colle le Script copié plus haut dans la partie inférieure d’OTL “Personnalisation”
    • Clique sur Analyse

    • Une fois le scan terminé 1 ou 2 rapports vont s’ouvrir OTL.txt et Extras.txt.
    • Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

      En cas de problème avec SOSUpload, utiliser Cjoint

  • Photo du profil de nscott32nscott32
    Participant
    Post count: 8

    Ok les voici :
    Extras. txt : https://antimalware.top/www/?a=d&i=f7wfGKcshr” onclick=”window.open(this.href);return false;
    OTL.txt : https://antimalware.top/www/?a=d&i=0P1jLL900j” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8313

    heu…..héberge-les sur cjoint.com , j’ai rien là au bout de tes liens :(

  • Photo du profil de nscott32nscott32
    Participant
    Post count: 8

    Zut!
    OTL.txt : https://antimalware.top/www/?a=d&i=0P1jLL900j” onclick=”window.open(this.href);return false;
    Extras.txt : https://antimalware.top/www/?a=d&i=0P1jLL900j” onclick=”window.open(this.href);return false;

  • Photo du profil de g3n-h@ckm@ng3n-h@ckm@n
    Admin bbPress
    Post count: 8313

    heu…..héberge-les sur http://cjoint.com” onclick=”window.open(this.href);return false; , j’ai rien là au bout de tes liens :(

Le sujet ‘Explorer de windows 8 s’actualise… (trojan)’ est fermé à de nouvelles réponses.