15 sujets de 1 à 15 (sur un total de 65)
  • Auteur
    Messages
  • Jeff2974
    Participant
    Nombre d'articles : 35

    Bonjour à tous,

    Je viens vers vous car je suis infecté sur mon autre portable par le virus INTERPOL UCASH ; écran bloqué sur une page me demandant de payer et apparaissant auapravant en gros 30sec après le lancement de l’explorer.

    SE : Win 8.1
    Ordinateur ASUS R900V

    Ca m’a donc laissé le temps d’aller avec msfconfig paramétrer en démarrage mode sans échec.

    J’ai fait une fois un RK ; j’ai validé les 5 suppressions qu’il me proposait dans le registre.

    Ensuite j’ai relancé en mode normal… Pas de virus pendant 10-15 minutes. Par contre pas d’accès au son ni au réseau (wifi + câble). Dans le gestionnaire de périph, il n’y a rien en rouge ni en jaune.
    D’un seul coup la page virus est revenue sans que je comprenne.

    Re-mode sans échec et j’ai suivi votre procédure : ADW, MBAM et ZHP, non sans refaire un RK.
    J’ai souhaité voir si la restauration était possible : “Un composant du service VSS a rencontré une erreur inattendue…”
    Dans SYSTEME du panneau de configuration :
    Processeur : non disponible
    Mémoire RAM : non disponible
    Type du système : SE 64 bits, processeur x64
    Activation de windows : redémarrez en mode normal pour l’activer (!!! elle l’a déjà été à l’achat cet été)
    ID de produit : Non disponible
    :E

    Vous avez les 5 rapports ci-après.
    Je viens de passer une journée sur les forums à essayer de comprendre une science qui m’est complètement hermétique… Je me repose donc sur vous !!

    Cordialement
    Jean-François

    [spoiler:1y9sfrg5]# AdwCleaner v4.102 – Rapport créé le 30/11/2014 à 16:30:27
    # Mis à jour le 23/11/2014 par Xplode
    # Database : 2014-11-23.7 [Local]
    # Système d'exploitation : Windows 8.1 (64 bits)
    # Nom d'utilisateur : Michel – PORTABLE-MICH
    # Exécuté depuis : C:UsersMichelDesktopadwcleaner_4.102.exe
    # Option : Scanner

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    Dossier Présent : C:ProgramDataWebsteroids

    ***** [ Tâches planifiées ] *****

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Clé Présente : HKLMSOFTWAREClassesAppID{384997EE-E3BE-49C4-9ECA-C62B7C08128A}
    Clé Présente : HKLMSOFTWAREClassesAppIDDynConIE.DLL
    Clé Présente : HKLMSOFTWAREClassesdynconie.dynconieobject
    Clé Présente : HKLMSOFTWAREClassesdynconie.dynconieobject.1
    Clé Présente : HKLMSOFTWAREClassesInterface{2830488C-079B-45C2-88B6-AFE4EAA2DF85}
    Clé Présente : HKLMSOFTWAREClassesTypeLib{781CA792-9B6E-400B-B36F-15C097D2CA54}
    Clé Présente : HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstallWebsteroids
    Clé Présente : HKLMSOFTWARESweetIM
    Clé Présente : [x64] HKLMSOFTWAREClassesCLSID{E5A7A645-8318-4895-B85C-EDC606B80DB6}
    Clé Présente : [x64] HKLMSOFTWAREClassesInterface{2830488C-079B-45C2-88B6-AFE4EAA2DF85}

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v11.0.9600.17344

    -\ Google Chrome v35.0.1916.153

    *************************

    AdwCleaner[R1].txt – [1541 octets] – [30/11/2014 16:20:09]
    AdwCleaner[R2].txt – [1601 octets] – [30/11/2014 16:28:58]
    AdwCleaner[R3].txt – [1534 octets] – [30/11/2014 16:30:27]

    ########## EOF – C:AdwCleanerAdwCleaner[R3].txt – [1594 octets] ##########

    # AdwCleaner v4.102 – Rapport créé le 30/11/2014 à 16:33:46
    # Mis à jour le 23/11/2014 par Xplode
    # Database : 2014-11-23.7 [Local]
    # Système d'exploitation : Windows 8.1 (64 bits)
    # Nom d'utilisateur : Michel – PORTABLE-MICH
    # Exécuté depuis : C:UsersMichelDesktopadwcleaner_4.102.exe
    # Option : Scanner

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    ***** [ Tâches planifiées ] *****

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v11.0.9600.17344

    -\ Google Chrome v35.0.1916.153

    *************************

    AdwCleaner[R1].txt – [1541 octets] – [30/11/2014 16:20:09]
    AdwCleaner[R2].txt – [1601 octets] – [30/11/2014 16:28:58]
    AdwCleaner[R3].txt – [1682 octets] – [30/11/2014 16:30:27]
    AdwCleaner[R4].txt – [813 octets] – [30/11/2014 16:33:46]
    AdwCleaner[S1].txt – [1754 octets] – [30/11/2014 16:31:35]

    ########## EOF – C:AdwCleanerAdwCleaner[R4].txt – [932 octets] ##########

    Malwarebytes Anti-Malware (Essai) 1.75.0.1300
    http://www.malwarebytes.org” onclick=”window.open(this.href);return false;

    Version de la base de données: v2013.04.04.07

    Windows 8 x64 NTFS (Mode sans échec)
    Internet Explorer 11.0.9600.17351
    Michel :: PORTABLE-MICH [administrateur]

    Protection: Désactivé

    30/11/2014 16:41:14
    mbam-log-2014-11-30 (16-41-14).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 211947
    Temps écoulé: 2 minute(s), 10 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    RogueKiller V10.0.8.0 [Nov 20 2014] par Adlice Software
    email : http://www.adlice.com/contact/” onclick=”window.open(this.href);return false;
    Remontées : http://forum.adlice.com” onclick=”window.open(this.href);return false;
    Site web : http://www.adlice.com/fr/logiciels/roguekiller/” onclick=”window.open(this.href);return false;
    Blog : http://www.adlice.com” onclick=”window.open(this.href);return false;

    Système d'exploitation : Windows 8.1 (6.3.9600 ) 64 bits version
    Démarré en : Mode sans échec
    Utilisateur : Michel [Administrateur]
    Mode : Suppression — Date : 11/30/2014 16:26:42

    ¤¤¤ Processus : 0 ¤¤¤

    ¤¤¤ Registre : 3 ¤¤¤
    [PUP] (X64) HKEY_CLASSES_ROOTCLSID{E5A7A645-8318-4895-B85C-EDC606B80DB6} -> ERROR [2]
    [Suspicious.Path] (X64) HKEY_LOCAL_MACHINESystemCurrentControlSetServiceswinmgmtParameters | ServiceDll : C:PROGRA~3DC6DE7A85.zot [-] -> Remplacé(e) (%systemroot%system32wbemWMIsvc.dll)
    [Suspicious.Path] (X64) HKEY_LOCAL_MACHINESystemControlSet001ServiceswinmgmtParameters | ServiceDll : C:PROGRA~3DC6DE7A85.zot [-] -> Remplacé(e) (%systemroot%system32wbemWMIsvc.dll)

    ¤¤¤ Tâches : 0 ¤¤¤

    ¤¤¤ Fichiers : 0 ¤¤¤

    ¤¤¤ Fichier Hosts : 0 ¤¤¤

    ¤¤¤ Antirootkit : 0 (Driver: Non chargé [0xc000035f]) ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Vérification MBR : ¤¤¤
    +++++ PhysicalDrive0: +++++
    — User —
    [MBR] dc266d59e9e084474a7cedf1b74dfc43
    [BSP] 752bb0386421670db1890f9130431a2f : Empty MBR Code
    Partition table:
    0 – [XXXXXX] UNKNOWN (0x0) [VISIBLE] Offset (sectors): 1 | Size: 2097151 MB
    User = LL1 … OK
    User = LL2 … OK

    +++++ PhysicalDrive1: +++++
    — User —
    [MBR] 735a1b1b751152b1728bddc726b90c7b
    [BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
    Partition table:
    0 – [XXXXXX] FAT32 (0xb) [VISIBLE] Offset (sectors): 32 | Size: 7650 MB
    User = LL1 … OK
    Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

    ============================================
    RKreport_DEL_11302014_120311.log – RKreport_DEL_11302014_121040.log – RKreport_DEL_11302014_121214.log – RKreport_DEL_11302014_140411.log
    RKreport_DEL_11302014_141927.log – RKreport_SCN_11302014_120024.log – RKreport_SCN_11302014_120948.log – RKreport_SCN_11302014_121148.log
    RKreport_SCN_11302014_140343.log – RKreport_SCN_11302014_141908.log – RKreport_SCN_11302014_143109.log – RKreport_SCN_11302014_162548.log

    Rapport de ZHPFix 2014.10.24.12 par Nicolas Coolman, Update du 24/10/2014
    Fichier d'export Registre :
    Run by Michel at 30/11/2014 16:53:26
    High Elevated Privileges : OK
    Windows 8.1 Home Premium Edition, 64-bit Service Pack 1 (9600)

    Corbeille vidée (00mn 02s)

    ========== Clés du Registre ==========
    CTFDisabledCTFMon désactivé par défaut

    ========== Fichier HOSTS ==========
    Le fichier Hosts n'est pas réparé, veuillez désactiver votre antivirus.

    ========== Récapitulatif ==========
    1 : Clés du Registre
    1 : Fichier HOSTS

    End of clean in 01mn 00s

    ========== Chemin de fichier rapport ==========
    C:UsersMichelAppDataRoamingZHPZHPFix[R1].txt – 30/11/2014 16:52:31 [601]
    C:UsersMichelAppDataRoamingZHPZHPFix[R2].txt – 30/11/2014 16:53:07 [785]
    C:UsersMichelAppDataRoamingZHPZHPFix[R3].txt – 30/11/2014 16:53:28 [785][/spoiler:1y9sfrg5]

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8258

    Salut

      Seuls ces liens sont officiels ne pas télécharger l’outil sur d’autres liens !

      Note : Pendant le scan le bureau peut disparaître à plusieurs reprises

    • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux … ( >> Aide << )
    • Télécharge Pre_Scan sur ton bureau !

    • Si le lien n’est pas fonctionnel :
      • #ICI (renommé winlogon)

    • Si l’outil est bloqué par l’infection essaye avec d’autres extensions :
    • Si des Proxy sont détectés et que tu n’en as pas installé :
      • Clique sur Supprimer le Proxy
    • A la fin du scan, rends toi à la racine de ton disque dur ( C: )
    • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com” onclick=”window.open(this.href);return false; puis donne le lien
    Jeff2974
    Participant
    Nombre d'articles : 35

    Re
    Merci pour ta réponse,
    Ci après le pré scan :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | g3n-h@ckm@n | 04.11.27.1 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | 7 | 8 – 32/64 bits ¤¤¤¤¤ – Start 19:05:13

    Mis ? jour le 27/11/2014 | 20.35 par g3n-h@ckm@n
    Contact : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Pre_scan Feedbacks : feedback-t74962.html

    [Michel (Administrator)] – [PORTABLE-MICH]
    SID = S-1-5-21-4257438303-146448401-784214444-1002

    Boot: SafeMode
    Syst?me : Windows 8.1 (64 bits) Core
    ProcessorNameString : Intel(R) Core(TM) i7-3630QM CPU @ 2.40GHz
    Identifier : Intel64 Family 6 Model 58 Stepping 9

    M?moire RAM = Total (MB) : 16652 | Libre (MB) : 15891
    Pagefile = Total (MB) : 19142 | Libre (MB) : 18438
    Virtuelle = Total (MB) : 4194 | Libre (MB) : 4059

    ¤¤¤¤¤¤¤¤¤¤ # Composants de d?marrage

    ¤¤¤¤¤¤¤¤¤¤¤ # P?ripheriques

    C:-> [Fixed] | [OS] | Total : 1144180 Mo | Libre : 1088020 Mo -> NTFS
    D:-> [Fixed] | [Data] | Total : 1695130 Mo | Libre : 896860 Mo -> NTFS
    F:-> [Fixed] | [TOSHIBA EXT] | Total : 953870 Mo | Libre : 666620 Mo -> NTFS
    G:-> [Removable] | [STORE N GO] | Total : 7640 Mo | Libre : 7590 Mo -> FAT32

    ¤¤¤¤¤¤¤¤¤¤ # Mises ? jour Windows

    Aucune mise ? jour d?tect?e !!!

    ¤¤¤¤¤¤¤¤¤¤ # Sessions

    C:WINDOWSsystem32configsystemprofile
    C:WindowsServiceProfilesLocalService
    C:WindowsServiceProfilesNetworkService
    C:UsersUpdatusUser
    C:UsersMichel

    Registre sauvegard? , pour restaurer : C:Pre_ScanSaveScanERDNT.exe

    ¤¤¤¤¤¤¤¤¤¤ # Navigateurs

    IE : 11.0.9600.17344 (© Microsoft Corporation.)
    GC : 35.0.1916.153 (Copyright 2012 Google Inc.)

    ¤¤¤¤¤¤¤¤¤¤ # FlashPlayer

    ActiveX : 15.0.0.189
    WMI : /!
    WU: Windows Update Service [Disabled(4)] = Arr?t?
    AS: Windows Defender [Manual(3)] = Arr?t?
    FW: Windows FireWall Service [Disabled(4)] = Arr?t?

    ¤¤¤¤¤¤¤¤¤¤ # Processus stopp?s

    96 | [Owner : Michel |Parent : 1016] – (.Microsoft Corporation – Explorateur Windows.) – (6.3.9600.17284) = C:Windowsexplorer.exe
    396 | [Owner : Michel |Parent : 96] – (.Microsoft Corporation – Chargeur CTF.) – (6.3.9600.16384) = C:WindowsSystem32ctfmon.exe
    1388 | [Owner : Michel |Parent : 96] – (.Microsoft Corporation – Gestionnaire des tâches.) – (6.3.9600.17031) = C:WindowsSystem32Taskmgr.exe

    ¤¤¤¤¤¤¤¤¤¤ # Winlogon utilisateur

    ¤¤¤¤¤¤¤¤¤¤ # Winlogon machine

    R?par? : [HKLM | Winlogon]|[userinit] : userinit.exe -> C:WINDOWSSyswow64userinit.exe,

    ¤¤¤¤¤¤¤¤¤¤ # Associations

    R?par? : [HKLMSoftwareClassesApplication.Manifestshellopencommand] : “C:WindowsSystem32rundll32.exe” “C:WindowsSystem32dfshim.dll”,ShOpenVerbApplication %1 -> rundll32.exe dfshim.dll,ShOpenVerbApplication %1
    R?par? : [HKLMSoftwareClassesApplication.Referenceshellopencommand] : “C:WindowsSystem32rundll32.exe” “C:WindowsSystem32dfshim.dll”,ShOpenVerbShortcut %1
    %2 -> rundll32.exe dfshim.dll,ShOpenVerbShortcut %1
    %2
    R?par? : [HKLMSoftwareClassesFoldershellopencommand] : C:WINDOWSExplorer.exe -> C:WINDOWSExplorer.exe

    ¤

    R?par? : HKLMSoftwareClientsStartMenuInternetIExplore.exeshellopencommand] : C:Program FilesInternet Exploreriexplore.exe -> “C:Program Files (x86)Internet Exploreriexplore.exe”
    R?par? : HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAssociations] : http://go.microsoft.com/fwlink/?LinkId=57426&Ext=” onclick=”window.open(this.href);return false;%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=” onclick=”window.open(this.href);return false;%s
    R?par? : HKLM64SOFTWAREMicrosoftWindowsCurrentVersionExplorerAssociations] : http://go.microsoft.com/fwlink/?LinkId=57426&Ext=” onclick=”window.open(this.href);return false;%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=” onclick=”window.open(this.href);return false;%s

    ¤¤¤¤¤¤¤¤¤¤ # Registre

    R?par? : HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
    R?par? : HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
    R?par? : HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
    R?par? : HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
    R?par? : HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
    R?par? : HKLMsoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]~[NoActiveDesktop] : 1 -> 0
    R?par? : HKLMsoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]~[NoActiveDesktopChanges] : 1 -> 0
    R?par? : HKLM64softwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
    R?par? : HKLM64softwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
    R?par? : HKLM64softwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
    R?par? : HKLM64softwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
    R?par? : HKLM64softwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]~[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
    R?par? : HKUS-1-5-21-4257438303-146448401-784214444-1002softwareMicrosoftWindowsCurrentVersionExplorerAdvanced]~[Hidden] : 2 -> 0
    R?par? : HKUS-1-5-21-4257438303-146448401-784214444-1002softwareMicrosoftWindowsCurrentVersionExplorerControlPanel]~[AllItemsIconView] : 0 -> 1

    ¤¤¤¤¤¤¤¤¤¤ # Acc?s au registre et au gestionnaire des taches

    ¤¤¤¤¤¤¤¤¤¤ # SafeBoot

    Safeboot Keys are O.K

    Alternate shell is OK !

    ?

    ¤¤¤¤¤¤¤¤¤¤ # IFEO

    ¤¤¤¤¤¤¤¤¤¤ # Mountpoints2

    Contenu de F:autorun.inf :

    [autorun]
    shellexecute=”Toshiba Places.html”
    icon=TMP.ico
    label=Toshiba HDD

    ¤¤¤¤¤¤¤¤¤¤ # Windows

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniBoot]|[Shell] : SYS:MicrosoftWindows NTCurrentVersionWinlogon
    [HKLM64SOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniBoot]|[Shell] : SYS:MicrosoftWindows NTCurrentVersionWinlogon
    [HKLM64SOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingwin.ini]|[winlogon] : SYS:MicrosoftWindows NTCurrentVersionWinlogon

    ¤¤¤¤¤¤¤¤¤¤ # Centre de s?curit?

    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{003e0278-eca8-4bb8-a256-3689ca1c2600}]|[Autostart] : C:WINDOWSsystem32shell32.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{3BF043EF-A974-49B3-8322-B853CF1E5EC5}]|[Autostart] : C:WINDOWSSystem32SndVolSSO.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{59EFE487-E5B8-4fae-9D2C-FCDF0B70CE70}]|[Autostart] : C:WindowsSysWOW64twinui.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{68ddbb56-9d1d-4fd9-89c5-c0da2a625392}]|[Autostart] : C:WINDOWSsystem32stobject.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{7849596a-48ea-486e-8937-a2a3009f31a9}]|[Autostart] : C:WINDOWSsystem32shell32.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{78DE489B-7931-4f14-83B4-C56D38AC9FFA}]|[Autostart] : C:WINDOWSsystem32shell32.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{811F592B-CDE7-4ca4-A6D4-7BB3F60AD8FB}]|[Autostart] : C:WINDOWSsystem32shell32.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{900c0763-5cad-4a34-bc1f-40cd513679d5}]|[Pas d’Autostart] : C:WINDOWSSystem32hcproviders.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{900c0763-5cad-4a34-bc1f-40cd513679d5}]|[Pas d’Autostart] : C:WINDOWSSystem32hcproviders.dll C:WINDOWSSystem32hcproviders.dll
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{A8CD0ADC-23D6-4B79-BCC9-D3309DF34760}]|[Autostart] : C:WINDOWSsystem32authui.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{AAA288BA-9A4C-45B0-95D7-94D524869DB5}]|[Autostart] : C:WINDOWSsystem32wpdshserviceobj.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{B5CFEB0E-9C01-4942-A5CB-F62EB09D808F}]|[Autostart] : C:WINDOWSsystem32SettingMonitor.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{D46A0B4F-4EEC-4A83-8DE5-9C86F0DFA34D}]|[Autostart] : C:WINDOWSsystem32SettingMonitor.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{DA67B8AD-E81B-4c70-9B91-B417B5E33527}]|[Autostart] : C:WINDOWSSystem32srchadmin.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{EF4D1E1A-1C87-4AA8-8934-E68E4367468D}]|[Autostart] : C:WindowsSysWOW64shdocvw.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{F08C5AC2-E722-4116-ADB7-CE41B527994B}]|[Autostart] : C:WindowsSysWOW64bthprops.cpl [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{F20487CC-FC04-4B1E-863F-D9801796130B}]|[Autostart] : C:WINDOWSSystem32SyncCenter.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]|[Autostart] : C:WINDOWSSystem32Actioncenter.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{fbeb8a05-beee-4442-804e-409d6c4515e9}]|[Autostart] : C:WINDOWSsystem32shell32.dll [ok]
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{ff363bfe-4941-4179-a81c-f3f1ca72d820}]|[Autostart] : C:WINDOWSSystem32hgcpl.dll [ok]

    R?par? : [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyDomainProfile]|[EnableFirewall] : 1 -> 0
    R?par? : [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile]|[EnableFirewall] : 1 -> 0
    R?par? : [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile]|[EnableFirewall] : 1 -> 0

    ¤¤¤¤¤¤¤¤¤¤ # Correction des services

    R?par? : [Compbatt] : -> 0
    R?par? : [srService] : -> 2
    R?par? : [Power] : 4 -> 2
    R?par? : [PlugPlay] : 4 -> 2
    R?par? : [Parvdm] : -> 2
    R?par? : [NVSvc] : 4 -> 2
    R?par? : [nsi] : 4 -> 2
    R?par? : [NLASvc] : 4 -> 2
    R?par? : [NIHardwareService] : -> 2
    R?par? : [MPSsvc] : 4 -> 2
    R?par? : [MMCSS] : 4 -> 2
    R?par? : [Iphlpsvc] : 4 -> 2
    R?par? : [IKEEXT] : 4 -> 2
    R?par? : [IAStorDataMgrsvc] : -> 2
    R?par? : [lmhosts] : 4 -> 2
    R?par? : [LanmanWorkstation] : 4 -> 2
    R?par? : [LanmanServer] : 4 -> 2
    R?par? : [agp440] : 0 -> 2
    R?par? : [AudioEndpointBuilder] : 4 -> 2
    R?par? : [BFE] : 4 -> 2
    R?par? : [Browser] : 4 -> 3
    R?par? : [ERSvc] : -> 2
    R?par? : [DnsCache] : 4 -> 2
    R?par? : [Bits] : 4 -> 2
    R?par? : [CryptSvc] : 3 -> 2
    R?par? : [EapHost] : 4 -> 2
    R?par? : [Wlansvc] : 4 -> 2
    R?par? : [SharedAccess] : 4 -> 2
    R?par? : [windefend] : 3 -> 2
    R?par? : [winmgmt] : 4 -> 2
    R?par? : [wuauserv] : 4 -> 2
    R?par? : [wudfsvc] : 4 -> 2
    R?par? : [WerSvc] : 4 -> 2
    R?par? : [wscsvc] : 4 -> 2
    R?par? : [Wwansvc] : 4 -> 3

    ¤¤¤¤¤¤¤¤¤¤ # Internet Explorer

    ¤¤¤¤¤¤¤¤¤¤ # reparsepoint

    ¤¤¤¤¤¤¤¤¤¤ # D?tection des offsets

    ¤¤¤¤¤¤¤¤¤¤ # Fichiers | Dossiers | Registre

    D?plac? en quarantaine avec succ?s : C:$Recycle.binS-1-5-18desktop.ini
    D?plac? en quarantaine avec succ?s : C:$Recycle.binS-1-5-19desktop.ini
    D?plac? en quarantaine avec succ?s : C:$Recycle.binS-1-5-21-4257438303-146448401-784214444-1002$IJYT2QP.db
    D?plac? en quarantaine avec succ?s : C:$Recycle.binS-1-5-21-4257438303-146448401-784214444-1002$INJSMYG.ini
    D?plac? en quarantaine avec succ?s : C:$Recycle.binS-1-5-21-4257438303-146448401-784214444-1002$RJYT2QP.db
    D?plac? en quarantaine avec succ?s : C:$Recycle.binS-1-5-21-4257438303-146448401-784214444-1002$RNJSMYG.ini
    D?plac? en quarantaine avec succ?s : C:$Recycle.binS-1-5-21-4257438303-146448401-784214444-1002desktop.ini
    Supprim? : C:$Recycle.binS-1-5-18
    Supprim? : C:$Recycle.binS-1-5-19
    Supprim? : C:$Recycle.binS-1-5-21-4257438303-146448401-784214444-1002

    D?plac? en quarantaine avec succ?s : C:WINDOWSTasksDriverNavigator Scheduled Scan.job
    D?plac? en quarantaine avec succ?s : G:RogueKiller.exe
    D?plac? en quarantaine avec succ?s : G:sh-remover.exe
    D?plac? en quarantaine avec succ?s : G:mbam-setup.exe
    D?plac? en quarantaine avec succ?s : G:DriverNavigator_Setup.exe
    D?plac? en quarantaine avec succ?s : G:Pre_Scan.exe
    D?plac? en quarantaine avec succ?s : C:ProgramDataDC6DE7A85.zot
    D?plac? en quarantaine avec succ?s : C:ProgramData58A7ED6CD.cpp

    ¤¤¤¤¤¤¤¤¤¤ # ADS

    Prefetch -> Nettoy?

    D: : Vaccinated (Vaccin created by Pre_Scan)
    G: : Vaccinated (Vaccin created by Pre_Scan)

    ?????????? | Hidden files

    ~ [Drive D:] : Hidden : 69 | Restored : 69
    ~ [Drive C:] : Hidden : 3 | Restored : 3
    ~ [Users] : Hidden : 2 | Restored : 2
    ~ [Searches] : Hidden : 2 | Restored : 2
    ~ [Windows] : Hidden : 37 | Restored : 32
    ~ [Libraries] : Hidden : 1 | Restored : 1

    ¤¤¤¤¤¤¤¤¤¤ # Contr?le des partitions

    Disk: 0 Size=764G
    Pos MBRndx Type/Name Size Active Hide Start Sector Sectors



    —-


    —-



    0 0 EE-UNKNWN 21.0T No No 1 294,967,295

    ¤¤¤¤¤¤¤¤¤¤

    [HKLM64 | Winlogon] | AutoRestartShell : 0 -> 1

    End : 19:08:54

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤ – 269

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8258

    re

    bien, on va faire un diag poussé

    • désactive ton antivirus le temps du scan
    • Télécharge quickDiag ici : https://www.sosvirus.net/telecharger/quickdiag/” onclick=”window.open(this.href);return false;
    • lance-le

    • clique sur “Extended” puis une fois terminé :
    • heberge le rapport sur https://antimalware.top” onclick=”window.open(this.href);return false;
    • donne le lien obtenu dans ta prochaine réponse

    note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible dans ton disque système ( logiquement C: )

    Jeff2974
    Participant
    Nombre d'articles : 35

    Re

    https://antimalware.top/www/?a=d&i=6g2WSKBrxB” onclick=”window.open(this.href);return false;

    Merci

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8258

    on lui fait sa fête :

    Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.
    Télécharge http://oldtimer.geekstogo.com/OTM.exe” onclick=”window.open(this.href);return false; OTM (OldTimer) sur ton Bureau :
    Double-clique sur OTM.exe afin de le lancer. (clic droit “executer en tant qu’administrateur” pour Vista/7/8 )

    Copie (Ctrl+C) le texte suivant ci-dessous :

    :reg
    [HKLMSoftwareWOW6432NodeMicrosoftWindowsCurrentVersionRun]
    “Adobe Reader Speed Launcher”=-
    “QuickTime Task”=-

    :files
    C:UsersMichelAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupDC6DE7A85.lnk
    C:UsersMichelAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupWebshots.lnk
    C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupCineForm Status.lnk
    C:WINDOWSSystem32TasksCreateChoiceProcessTask

    :commands
    [emptytemp]

    Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
    Clique maintenant sur le bouton MoveIt!
    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    Poste le rapport situé dans ce dossier : C:_OTMMovedFiles

    *Le nom du rapport correspond au moment de sa création : date_heure.log

    Jeff2974
    Participant
    Nombre d'articles : 35

    Re
    Merci
    Je n’ai pas besoin de désactiver mon anti-virus…il est désactivé et il ne veut pas se réactiver.

    Ci après le rapport :

    All processes killed
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINESoftwareWOW6432NodeMicrosoftWindowsCurrentVersionRun\Adobe Reader Speed Launcher deleted successfully.
    Registry value HKEY_LOCAL_MACHINESoftwareWOW6432NodeMicrosoftWindowsCurrentVersionRun\QuickTime Task deleted successfully.
    ========== FILES ==========
    C:UsersMichelAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupDC6DE7A85.lnk moved successfully.
    C:UsersMichelAppDataRoamingMicrosoftWindowsStart MenuProgramsStartupWebshots.lnk moved successfully.
    C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupCineForm Status.lnk moved successfully.
    File/Folder C:WINDOWSSystem32TasksCreateChoiceProcessTask not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default.migrated

    User: Michel
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 5538272 bytes
    ->Google Chrome cache emptied: 0 bytes
    ->Flash cache emptied: 647 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%System32 .tmp files removed: 0 bytes
    %systemroot%System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%System32drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 70978 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 5,00 mb

    OTM by OldTimer – Version 3.1.21.0 log created on 11302014_212457

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8258

    remet le demarrage en mode normal et redemarre

    Jeff2974
    Participant
    Nombre d'articles : 35

    l’ordi a re-démarré en mode normal

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8258

    ;) donc plus de soucis ? :)

    Jeff2974
    Participant
    Nombre d'articles : 35

    Effectivemment, je n’ai plus la page INterpol ^^ :D

    Par contre toujours pas de son, pas de wifi…tu as une idée?

    Windows n’a détecté aucun matériel réseau…
    Toujours aucune info système (processeur, RAM, etc…)

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8258

    on va réparer le wmi

    • Désactive ton antivirus le temps du téléchargement et de l’utilisation.
    • Télécharge AdsFix sur ton bureau.
      Note : Enregistrer votre travail avant de continuer !
    • Lance AdsFix
    • Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
    • Inscrit ton pays
    • Clique sur Nettoyer , après l’avoir débloqué dans les options

      Note : Patiente le temps du scan
    • Laisse travailler l’outil même s’il te parait bloqué
    • Si l’outil détecte un proxy que tu ne connais pas clic sur : “Supprimer le proxy
    • Héberge le rapport C:AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.

    Aide:

    Jeff2974
    Participant
    Nombre d'articles : 35

    Re,

    Arrivé à 20%, 1620 fichiers analysés, Value : WudfSvc (écrit en bleu) :
    AdsFix a cessé de fonctionner.
    L’instruction à 0x0024eeaa emploie l’adresse mémoire 0x03ba9000. La mémoire ne peut pas être en état read.
    Cliquez sur OK pour terùiner le programme

    :p:

    Jeff2974
    Participant
    Nombre d'articles : 35

    J’ai relancé AdsFix…. il a passé le cap des 1620 fichiers et tourne encore…
    :horror:

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8258

    ok tiens au courant ;)

15 sujets de 1 à 15 (sur un total de 65)
  • Vous devez être connecté pour répondre à ce sujet.