12 sujets de 1 à 12 (sur un total de 12)
  • Auteur
    Messages
  • mixer49
    Participant
    Nombre d'articles : 6

    Bonjour,
    J’ai trouvé ceci sur mon PC :oigFo.exe.Quand je le supprime via Process Explorer,j’ai directement un crash plus un écran bleu avec vidage de mémoire et plein de message trés effrayant.
    Qu’est ce que c’est?
    ADW cleaner suffira?
    Merci.

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    salut

      Seuls ces liens sont officiels ne pas télécharger l’outil sur d’autres liens !

      Note : Pendant le scan le bureau peut disparaître à plusieurs reprises

    • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux … ( >> Aide << )
    • Télécharge Pre_Scan sur ton bureau !

    • Si le lien n’est pas fonctionnel :
      • #ICI (renommé winlogon)

    • Si l’outil est bloqué par l’infection essaye avec d’autres extensions :
    • Si des Proxy sont détectés et que tu n’en as pas installé :
      • Clique sur Supprimer le Proxy
    • A la fin du scan, rends toi à la racine de ton disque dur ( C: )
    • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com” onclick=”window.open(this.href);return false; puis donne le lien
    mixer49
    Participant
    Nombre d'articles : 6

    Merci de m’aider !
    Quand j’ai lancé PreScan,l’ordi a immédiatement planté.
    Par rapport à ce matin quand j’ai posté ici,le probléme se posait surtout sur le PC tour.Depuis j’ai passé ADWCleaner,le PC plante directement avec “BSOD”,CCleaner a nettoyé la base de registre et avast a fait un scan complet,ce qui a provoqué un nouveau crash.Au redémarrage,Windows a proposé de chercher les problèmes (programmes en noir et blanc),il a trouvé et le oigFo.exe avait disparu.Actuellement je suis sur le portable (Seven 64) et je n’arrive pas a reproduire la séquence qui a mené a la disparition de l’infection.
    Aprés redémarrage du portable,le dossier PréScan est seulement constitué d’images vides et d’un fichier nommé PPal.ico.
    Voilà ou j’en suis maintenant et un peu perplexe sur le fait que le portable plante instantanément dés que l’on s’attaque a cette ….chose.
    Et encore merci !

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    ok on va l’attaquer autrement :

    Télécharge ici : https://www.sosvirus.net/telecharger/pre_scan-en-live-cd/” onclick=”window.open(this.href);return false;
    Sélectionnez si vous désirez créer un CD live ou une Clé USB Live.
    ===============================
    Si vous choisissez CD :
    Patientez quelques secondes , un logiciel de gravure va s’ouvrir.
    Insérez un CD dans votre graveur puis cliquez sur « BURN ISO »
    (normalement le fichier à graver est déjà sélectionné)
    si USB :
    insère une clé usb dans un support ( minimum 512 Mo )
    l’installation peut durer 1 à 2 mn
    Iso to USB s’ouvre , clique sur « Browse » et selectionne « Win7Rescue.iso » qui s’est mis sur ton bureau.
    choisis la lettre correspondante à ta clé usb en dessous, et laisse le systeme de fichiers par défaut.
    coche la case « Bootable » , puis clique sur burn, puis réponds « yes » aux deux messages suivants.
    une fenetre t’avertira que l’operation a réussi.
    Une fois terminé , ejecte la clé de pc et insère-là dans le pc malade.
    ===================================
    Il vous faudra un clavier filaire les sans fils ne fonctionnant pas sur le bios
    Ensuite changez le démarrage de votre pc malade en mettant le cd en premier démarrage dans le bios
    Comment Faire ? : http://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot” onclick=”window.open(this.href);return false;
    Démarrez le pc malade sur le cd ou la clé usb
    Laisse faire jusqu’à l’affichage complet du bureau
    Normalement FirefoxPortable vous permet de venir lire la suite
    Lancez OTLPE.exe qui se trouve sur votre bureau :
    Choisissez dans la fenêtre qui s’ouvre , le dossier d’installation correspondant au Windows malade (C:windows , ou d:windows ou …) : cliquez sur le dossier Windows puis sur ok
    A la question « Do you wish to load remote user profile(s) for scanning ? » => oui
    Cocher la case « Automatically Load All Remaining Users ? » puis cliquer sur OK
    OTLPE s’ouvre… Mettez juste les 4 cases de gauche sur « All » et ne touchez à rien d’autre.

    Dans la case en dessous « Custom Scans/Fixes » collez ce texte :

    HKCUSoftware
    HKLMSoftware
    HKCUSoftwareMicrosoftCommand Processor /s
    HKLMSoftwareMicrosoftCommand Processor /s
    %Homedrive%*
    %Homedrive%*.
    %Userprofile%*
    %Userprofile%*.
    %Allusersprofile%*
    %Allusersprofile%*.
    %LocalAppData%*
    %LocalAppData%*.
    %Userprofile%Local SettingsApplication Data*
    %Userprofile%Local SettingsApplication Data*.
    %programFiles%*
    %programFiles%GoogleDesktopInstall /s
    %programFiles%*.
    %Systemroot%Installer*.
    %Systemroot%Temp*.exe /s
    %systemroot%system32*.dll /lockedfiles
    %systemroot%system32*.exe /lockedfiles
    %systemroot%system32*.in*
    %systemroot%Tasks*
    %systemroot%Tasks*.
    %systemroot%system32Tasks*
    %systemroot%system32Tasks*.
    %systemroot%system32drivers*.sy* /lockedfiles
    %systemroot%system32config*.exe /s
    %Systemroot%ServiceProfiles*.exe /s
    %systemroot%system32*.sys
    dir %Homedrive%* /S /A:L /C
    msconfig
    activex
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork

    Cliquez sur Analyse.
    A la fin du scan, deux Bloc-Notes vont s’ouvrir avec les rapport OTL.txt et Extra.txt
    Hébergez-les un par un sur http://cjoint.com” onclick=”window.open(this.href);return false; puis donnez les deux liens obtenus sur le forum ou dans la discussion où vous vous faite aider.
    Ils sont aussi à la racine de la partition où est installé Windows (C:OTL.txt…ou D:OTL.txt….ainsi que l’Extra qui l’accompagne)

    mixer49
    Participant
    Nombre d'articles : 6

    Bonsoir,étonnamment aprés toutes les manip’ précédentes,plus avoir mis ,dans Process Explorer,le”oigFo.exe”en suspend,j’ai pu le “killer” et il à disparu.
    Je m’en tiens là pour le moment.
    Si retour de la “béte”,j’appliquerais la solution suivante (Clef USB).

    Et encore merci de votre aide rapide et désinterressée.

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    alors profites-en pour passer pre_scan tout de suite

    mixer49
    Participant
    Nombre d'articles : 6

    Ok,je fais ça !

    mixer49
    Participant
    Nombre d'articles : 6

    Voilà le lien du rapport :¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | g3n-h@ckm@n | 04.06.08.2 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | 7 | 8 – 32/64 bits ¤¤¤¤¤ – Start 19:43:24

    Mis à jour le 08/06/2014 | 17.00 par g3n-h@ckm@n
    Contact : https://www.sosvirus.net/” onclick=”window.open(this.href);return false;
    Pre_Script Infos : http://gen-hackman.purforum.com/t49-5-les-switchs-du-script” onclick=”window.open(this.href);return false;
    Pre_scan Feedbacks : http://gen-hackman.purforum.com/f10-pre_scan-feedbacks” onclick=”window.open(this.href);return false;

    [Phil (Administrator)] – [PHIL-PC]
    SID = S-1-5-21-1538006027-154105240-2447379731-1000

    D‚marrage : Normal
    Système : Windows 7 Professional (64 bits) Professional Service Pack 1
    ProcessorNameString : Intel(R) Core(TM) i5-2450M CPU @ 2.50GHz
    Identifier : Intel64 Family 6 Model 42 Stepping 7

    Mémoire RAM = Total (MB) : 4153 | Libre (MB) : 2905
    Pagefile = Total (MB) : 8304 | Libre (MB) : 7014
    Virtuelle = Total (MB) : 4194 | Libre (MB) : 4033

    ¤¤¤¤¤¤¤¤¤¤ | Composants de démarrage

    ¤¤¤¤¤¤¤¤¤¤¤ | Péripheriques

    C:-> [Fixed] | [TI30876100A] | Total : 458890 Mo | Libre : 118850 Mo -> NTFS
    J:-> [Fixed] | [System] | Total : 1500 Mo | Libre : 1210 Mo -> NTFS

    ¤¤¤¤¤¤¤¤¤¤ | Mises à jour Windows

    Aucune mise à jour détectée !!!

    ¤¤¤¤¤¤¤¤¤¤ | Sessions

    C:Windowssystem32configsystemprofile
    C:WindowsServiceProfilesLocalService
    C:WindowsServiceProfilesNetworkService
    C:UsersPhil

    Registre sauvegardé , pour restaurer : C:Pre_ScanSaveScanERDNT.exe

    Mise en veille supprimée !

    ¤¤¤¤¤¤¤¤¤¤ | Navigateurs

    IE : 11.0.9600.17041 (© Microsoft Corporation.)
    FF : 29.0.1.5239 (©Firefox and Mozilla Developers; available under the MPL 2 license.)
    GC : 35.0.1916.114 (Copyright 2012 Google Inc.)

    ¤¤¤¤¤¤¤¤¤¤ | FlashPlayer

    FlashPlayer Plugin : 13.0.0.214

    ¤¤¤¤¤¤¤¤¤¤ | Security

    AV : avast! Antivirus Enabled
    AS : avast! Antivirus Enabled
    FW :
    WMI : OK
    WU: Windows Update Service [Auto(2)] = En service
    AS: Windows Defender [Auto(2)] = En service
    FW: Windows FireWall Service [Auto(2)] = En service

    ¤¤¤¤¤¤¤¤¤¤ | Processus stoppés

    944 | [Owner : |Parent : 652] – (.AMD – AMD External Events Service Module.) – (6.14.11.1159) = C:WindowsSystem32atiesrxx.exe
    1228 | [Owner : |Parent : 944] – (.AMD – AMD External Events Client Module.) – (6.14.11.1159) = C:WindowsSystem32atieclxx.exe
    1312 | [Owner : |Parent : 284] – (.Microsoft Corporation – Infrastructure d’extensibilité pour les services réseau Windows sans fil 802.11.) – (6.1.7600.16385) = C:WindowsSystem32wlanext.exe
    1588 | [Owner : Phil |Parent : 1524] – (.Microsoft Corporation – Explorateur Windows.) – (6.1.7601.17567) = C:Windowsexplorer.exe
    1712 | [Owner : Phil |Parent : 652] – (.Microsoft Corporation – Processus hôte pour Tâches Windows.) – (6.1.7601.18010) = C:WindowsSystem32taskhost.exe
    1808 | [Owner : Système |Parent : 652] – (.Microsoft Corporation – Application sous-système spouleur.) – (6.1.7601.17777) = C:WindowsSystem32spoolsv.exe
    2024 | [Owner : Système |Parent : 652] – (.Adobe Systems Incorporated – Adobe Acrobat Update Service.) – (1.701.3.3014) = C:Program Files (x86)Common FilesAdobeARM1.0armsvc.exe
    1144 | [Owner : Système |Parent : 652] – (.Apple Inc. – YSLoader.exe.) – (17.327.4.24) = C:Program Files (x86)Common FilesAppleMobile Device SupportAppleMobileDeviceService.exe
    1780 | [Owner : Système |Parent : 652] – (.Apple Inc. – Bonjour Service.) – (3.0.0.10) = C:Program FilesBonjourmDNSResponder.exe
    1564 | [Owner : Système |Parent : 1764] – (.Google Inc. – Google Crash Handler.) – (1.3.24.7) = C:Program Files (x86)GoogleUpdate1.3.24.7GoogleCrashHandler.exe
    1888 | [Owner : Système |Parent : 1764] – (.Google Inc. – Google Crash Handler.) – (1.3.24.7) = C:Program Files (x86)GoogleUpdate1.3.24.7GoogleCrashHandler64.exe
    2160 | [Owner : Phil |Parent : 1588] – (.Google Inc. – Google Chrome.) – (35.0.1916.114) = C:Program Files (x86)GoogleChromeApplicationchrome.exe
    2620 | [Owner : Phil |Parent : 1588] – (.Dropbox, Inc. – Dropbox.) – (2.8.2.0) = C:UsersPhilAppDataRoamingDropboxbinDropbox.exe
    2676 | [Owner : Phil |Parent : 2440] – (.LogMeIn Inc. – Hamachi Client Application.) – (2.2.0.193) = C:Program Files (x86)LogMeIn Hamachihamachi-2-ui.exe
    1044 | [Owner : Phil |Parent : 2160] – (.Google Inc. – Google Chrome.) – (35.0.1916.114) = C:Program Files (x86)GoogleChromeApplicationchrome.exe
    2436 | [Owner : Système |Parent : 652] – (.LogMeIn, Inc. – LMIGuardianSvc.) – (10.1.0.1652) = C:Program Files (x86)LogMeIn HamachiLMIGuardianSvc.exe
    3116 | [Owner : Système |Parent : 652] – (.CybelSoft – Service de détection matériel.) – (7.1.3.0) = C:Program Filesma-config.comMaConfigAgent.exe
    3824 | [Owner : Système |Parent : 652] – (. – .) – (0.0.0.0) = C:WindowsSysWOW64PnkBstrA.exe
    4012 | [Owner : Système |Parent : 652] – (.TOSHIBA CORPORATION – TOSHIBA Bluetooth Service.) – (6.4.317.0) = C:Program Files (x86)TOSHIBABluetooth Toshiba StackTosBtSrv.exe
    4044 | [Owner : Système |Parent : 652] – (.Microsoft Corp. – Microsoft® Windows Live ID Service.) – (7.250.4311.0) = C:Program FilesCommon FilesMicrosoft SharedWindows LiveWLIDSVC.EXE
    780 | [Owner : Système |Parent : 652] – (.LogMeIn Inc. – Hamachi Client Tunneling Engine.) – (2.2.0.193) = C:Program Files (x86)LogMeIn Hamachihamachi-2.exe
    3148 | [Owner : Système |Parent : 4044] – (.Microsoft Corp. – Microsoft® Windows Live ID Service Monitor.) – (7.250.4311.0) = C:Program FilesCommon FilesMicrosoft SharedWindows LiveWLIDSVCM.EXE
    3612 | [Owner : Phil |Parent : 784] – (.Microsoft Corporation – Sink to receive asynchronous callbacks for WMI client application.) – (6.1.7600.16385) = C:WindowsSystem32wbemunsecapp.exe
    4424 | [Owner : Phil |Parent : 1588] – (.Sysinternals – http://www.sysinternals.com – Sysinternals Process Explorer.) – (15.40.0.0) = C:UsersPhilDesktopDocumentsprocexp.exe
    4172 | [Owner : Phil |Parent : 4424] – (.Sysinternals – http://www.sysinternals.com – Sysinternals Process Explorer.) – (15.40.0.0) = C:UsersPhilAppDataLocalTempPROCEXP64.exe
    4668 | [Owner : Système |Parent : 652] – (.Microsoft Corporation – Indexeur Microsoft Windows Search.) – (7.0.7601.17610) = C:WindowsSystem32SearchIndexer.exe
    5452 | [Owner : SERVICE LOCAL |Parent : 284] – (.Microsoft Corporation – Windows Driver Foundation – Processus hôte de l’infrastructure de pilotes en mode utilisateur.) – (6.2.9200.16384) = C:WindowsSystem32WUDFHost.exe
    5264 | [Owner : SERVICE RÉSEAU |Parent : 652] – (.Microsoft Corporation – Service Partage réseau du Lecteur Windows Media.) – (12.0.7601.17514) = C:Program FilesWindows Media Playerwmpnetwk.exe
    4824 | [Owner : Phil |Parent : 1588] – (.Valve Corporation – Steam Client Bootstrapper.) – (2.25.32.45) = C:Program Files (x86)SteamSteam.exe
    2492 | [Owner : Phil |Parent : 1588] – (.Microsoft Corporation – Windows Live Mail.) – (16.4.3528.331) = C:Program Files (x86)Windows LiveMailwlmail.exe
    4092 | [Owner : Phil |Parent : 784] – (.Microsoft Corporation – Windows Live Communications Platform.) – (16.4.3528.331) = C:Program Files (x86)Windows LiveContactswlcomm.exe

    ¤¤¤¤¤¤¤¤¤¤ | Processus en cours

    368 | [Owner : Système |Parent : 4] – (.Microsoft Corporation – Gestionnaire de sessions Windows.) – (6.1.7601.18229) = C:WindowsSystem32smss.exe
    456 | [Owner : Système |Parent : 448] – (.Microsoft Corporation – Processus d’exécution client-serveur.) – (6.1.7600.16385) = C:WindowsSystem32csrss.exe
    528 | [Owner : Système |Parent : 448] – (.Microsoft Corporation – Application de démarrage de Windows.) – (6.1.7600.16385) = C:WindowsSystem32wininit.exe
    556 | [Owner : Système |Parent : 540] – (.Microsoft Corporation – Processus d’exécution client-serveur.) – (6.1.7600.16385) = C:WindowsSystem32csrss.exe
    604 | [Owner : Système |Parent : 540] – (.Microsoft Corporation – Application d’ouverture de session Windows.) – (6.1.7601.18409) = C:WindowsSystem32winlogon.exe
    652 | [Owner : Système |Parent : 528] – (.Microsoft Corporation – Applications Services et Contrôleur.) – (6.1.7600.16385) = C:WindowsSystem32services.exe
    668 | [Owner : Système |Parent : 528] – (.Microsoft Corporation – Local Security Authority Process.) – (6.1.7601.18443) = C:WindowsSystem32lsass.exe
    676 | [Owner : Système |Parent : 528] – (.Microsoft Corporation – Service du gestionnaire de session locale.) – (6.1.7601.17514) = C:WindowsSystem32lsm.exe
    784 | [Owner : Système |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    880 | [Owner : SERVICE RÉSEAU |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    1004 | [Owner : SERVICE LOCAL |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    284 | [Owner : Système |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    332 | [Owner : SERVICE LOCAL |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    416 | [Owner : Système |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    1120 | [Owner : SERVICE RÉSEAU |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    1344 | [Owner : Système |Parent : 652] – (.AVAST Software – avast! Service.) – (9.0.2018.391) = C:Program FilesAVAST SoftwareAvastAvastSvc.exe
    1536 | [Owner : Phil |Parent : 284] – (.Microsoft Corporation – Gestionnaire de fenêtres du Bureau.) – (6.1.7600.16385) = C:WindowsSystem32dwm.exe
    1896 | [Owner : SERVICE LOCAL |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    1928 | [Owner : SERVICE LOCAL |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    2712 | [Owner : Phil |Parent : 2440] – (.AVAST Software – avast! Antivirus.) – (9.0.2018.401) = C:Program FilesAVAST SoftwareAvastavastui.exe
    6116 | [Owner : SERVICE RÉSEAU |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    2808 | [Owner : SERVICE LOCAL |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    1208 | [Owner : Système |Parent : 784] – (.Microsoft Corporation – COM Surrogate.) – (6.1.7600.16385) = C:WindowsSystem32dllhost.exe
    4552 | [Owner : Système |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    2692 | [Owner : Système |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    3400 | [Owner : SERVICE LOCAL |Parent : 652] – (.Microsoft Corporation – Processus hôte pour les services Windows.) – (6.1.7600.16385) = C:WindowsSystem32svchost.exe
    860 | [Owner : SERVICE LOCAL |Parent : 1004] – (.Microsoft Corporation – Isolation graphique de périphérique audio Windows .) – (6.1.7601.17514) = C:WindowsSystem32audiodg.exe
    1216 | [Owner : Phil |Parent : 2160] – (. – .) – (0.0.0.0) = C:UsersPhilDownloadsPre_Scan.exe
    4352 | [Owner : Phil |Parent : 784] – (.Microsoft Corporation – Processus hôte Windows (Rundll32).) – (6.1.7600.16385) = C:WindowsSystem32rundll32.exe
    3656 | [Owner : SERVICE LOCAL |Parent : 284] – (.Microsoft Corporation – Windows Driver Foundation – Processus hôte de l’infrastructure de pilotes en mode utilisateur.) – (6.2.9200.16384) = C:WindowsSystem32WUDFHost.exe
    6012 | [Owner : Système |Parent : 652] – (.CybelSoft – Service de détection matériel.) – (7.1.3.0) = C:Program Filesma-config.comMaConfigAgent.exe
    5100 | [Owner : Système |Parent : 652] – (.Microsoft Corp. – Microsoft® Windows Live ID Service.) – (7.250.4311.0) = C:Program FilesCommon FilesMicrosoft SharedWindows LiveWLIDSVC.EXE
    3976 | [Owner : Système |Parent : 5100] – (.Microsoft Corp. – Microsoft® Windows Live ID Service Monitor.) – (7.250.4311.0) = C:Program FilesCommon FilesMicrosoft SharedWindows LiveWLIDSVCM.EXE
    2792 | [Owner : SERVICE RÉSEAU |Parent : 652] – (.Microsoft Corporation – Service Partage réseau du Lecteur Windows Media.) – (12.0.7601.17514) = C:Program FilesWindows Media Playerwmpnetwk.exe
    5012 | [Owner : Système |Parent : 652] – (.Microsoft Corporation – Indexeur Microsoft Windows Search.) – (7.0.7601.17610) = C:WindowsSystem32SearchIndexer.exe
    4488 | [Owner : Système |Parent : 784] – (.Microsoft Corporation – WMI Provider Host.) – (6.1.7601.17514) = C:WindowsSystem32wbemWmiPrvSE.exe
    3792 | [Owner : Système |Parent : 652] – (.Microsoft Corporation – Application sous-système spouleur.) – (6.1.7601.17777) = C:WindowsSystem32spoolsv.exe
    3676 | [Owner : Système |Parent : 652] – (.Apple Inc. – YSLoader.exe.) – (17.327.4.24) = C:Program Files (x86)Common FilesAppleMobile Device SupportAppleMobileDeviceService.exe
    5032 | [Owner : Système |Parent : 5012] – (.Microsoft Corporation – Microsoft Windows Search Protocol Host.) – (7.0.7601.17610) = C:WindowsSystem32SearchProtocolHost.exe
    5956 | [Owner : Système |Parent : 5012] – (.Microsoft Corporation – Microsoft Windows Search Filter Host.) – (7.0.7601.17610) = C:WindowsSystem32SearchFilterHost.exe

    ¤¤¤¤¤¤¤¤¤¤ | Winlogon utilisateur : OK !

    ¤¤¤¤¤¤¤¤¤¤ | Winlogon machine

    Modifié : [32][HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]|[AutoRestartShell] : 1 -> 0
    Réparé : [64][HKLM | Winlogon]|[userinit] : userinit.exe -> C:WindowsSysWOW64userinit.exe,

    ¤¤¤¤¤¤¤¤¤¤ | Associations

    Réparé : [64][HKLMSoftwareClassesFoldershellopencommand] : C:WindowsExplorer.exe -> C:WindowsExplorer.exe

    ¤

    Réparé : [64][HKLMSoftwareClientsStartMenuInternetIExplore.exeshellopencommand] : C:Program FilesInternet Exploreriexplore.exe -> “C:Program Files (x86)Internet Exploreriexplore.exe”
    Réparé : [64][HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAssociations] : http://go.microsoft.com/fwlink/?LinkId=57426&Ext=” onclick=”window.open(this.href);return false;%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=” onclick=”window.open(this.href);return false;%s
    Réparé : [32][HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAssociations] : http://go.microsoft.com/fwlink/?LinkId=57426&Ext=” onclick=”window.open(this.href);return false;%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=” onclick=”window.open(this.href);return false;%s

    ¤¤¤¤¤¤¤¤¤¤ | Registre

    Réparé : [64][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
    Réparé : [32][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
    Réparé : [64][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
    Réparé : [32][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
    Réparé : [64][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{20D04FE0-3AEA-1069-A2D8-08002B30309D}] : 1 -> 0
    Réparé : [32][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{20D04FE0-3AEA-1069-A2D8-08002B30309D}] : 1 -> 0
    Réparé : [64][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
    Réparé : [32][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
    Réparé : [64][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
    Réparé : [32][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
    Réparé : [64][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
    Réparé : [32][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
    Réparé : [64][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{59031a47-3f72-44a7-89c5-5595fe6b30ee}] : 1 -> 0
    Réparé : [32][HKLMsoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel]|[{59031a47-3f72-44a7-89c5-5595fe6b30ee}] : 1 -> 0
    Réparé : [64][HKLMsoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]|[NoActiveDesktop] : 1 -> 0
    Réparé : [64][HKLMsoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]|[NoActiveDesktopChanges] : 1 -> 0
    Réparé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000softwareMicrosoftWindowsCurrentVersionExplorerAdvanced]|[Hidden] : 1 -> 0
    Réparé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000softwareMicrosoftWindowsCurrentVersionExplorerControlPanel]|[AllItemsIconView] : 0 -> 1
    Réparé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000softwareMicrosoftWindowsCurrentVersionPoliciesExplorer]|[NoFolderOptions] : 1 -> 0

    ¤¤¤¤¤¤¤¤¤¤ | Accès au registre et au gestionnaire des taches

    ¤¤¤¤¤¤¤¤¤¤ | SafeBoot

    Safeboot Keys are O.K

    Alternate shell is OK !

    ¤

    Safeboot Minimal Subkeys : O.K !

    ¤

    Safeboot Network Subkeys : O.K !

    ¤¤¤¤¤¤¤¤¤¤ | IFEO

    Supprimé : [64][HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File execution Optionstaskmgr.exe] : “C:USERSPHILDESKTOPDOCUMENTSPROCEXP.EXE”

    ¤¤¤¤¤¤¤¤¤¤ | Mountpoints2

    Supprimé : HKUS-1-5-21-1538006027-154105240-2447379731-1000SoftwareMicrosoftWindowsCurrentVersionExplorerMountpoints2{e65520de-cde8-11e3-bb86-446d57055f2a} | AutoRuncommand : F:LaunchU3.exe -a

    ¤¤¤¤¤¤¤¤¤¤ | Windows

    [64][HKLMSOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniBoot]|[Shell] : SYS:MicrosoftWindows NTCurrentVersionWinlogon
    [32][HKLMSOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniBoot]|[Shell] : SYS:MicrosoftWindows NTCurrentVersionWinlogon
    [32][HKLMSOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingwin.ini]|[winlogon] : SYS:MicrosoftWindows NTCurrentVersionWinlogon

    Winsrv : OK !

    [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]|[AppInit_DLLS] :

    [HKLM64SOFTWAREMicrosoftWindows NTCurrentVersionWindows]|[AppInit_DLLS] :
    [64][HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]|[LoadAppInit_DLLs] : 1
    [32][HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows]|[LoadAppInit_DLLs] : 1

    ¤¤¤¤¤¤¤¤¤¤ | Centre de sécurité

    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{003e0278-eca8-4bb8-a256-3689ca1c2600}]|[Autostart] : C:Windowssystem32shell32.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{3BF043EF-A974-49B3-8322-B853CF1E5EC5}]|[Autostart] : C:WindowsSystem32SndVolSSO.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{68ddbb56-9d1d-4fd9-89c5-c0da2a625392}]|[Autostart] : C:Windowssystem32stobject.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{7007ACCF-3202-11D1-AAD2-00805FC1270E}]|[Autostart] : C:WindowsSystem32netshell.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{7849596a-48ea-486e-8937-a2a3009f31a9}]|[Autostart] : C:Windowssystem32shell32.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{900c0763-5cad-4a34-bc1f-40cd513679d5}]|[Pas d’Autostart] : C:WindowsSystem32hcproviders.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{900c0763-5cad-4a34-bc1f-40cd513679d5}]|[Pas d’Autostart] : C:WindowsSystem32hcproviders.dll C:WindowsSystem32hcproviders.dll
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{A1607060-5D4C-467a-B711-2B59A6F25957}]|[Autostart] : C:WindowsSystem32AltTab.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{AAA288BA-9A4C-45B0-95D7-94D524869DB5}]|[Autostart] : C:Windowssystem32wpdshserviceobj.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{C2796011-81BA-4148-8FCA-C6643245113F}]|[Autostart] : C:WindowsSystem32pnidui.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{DA67B8AD-E81B-4c70-9B91-B417B5E33527}]|[Autostart] : C:WindowsSystem32srchadmin.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{EF4D1E1A-1C87-4AA8-8934-E68E4367468D}]|[Autostart] : C:WindowsSysWOW64shdocvw.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{F08C5AC2-E722-4116-ADB7-CE41B527994B}]|[Autostart] : C:WindowsSysWOW64bthprops.cpl [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{F20487CC-FC04-4B1E-863F-D9801796130B}]|[Autostart] : C:WindowsSystem32SyncCenter.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]|[Autostart] : C:WindowsSystem32Actioncenter.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{fbeb8a05-beee-4442-804e-409d6c4515e9}]|[Autostart] : C:Windowssystem32shell32.dll [ok]
    [64][HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects{ff363bfe-4941-4179-a81c-f3f1ca72d820}]|[Autostart] : C:WindowsSystem32hgcpl.dll [ok]

    Réparé : [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile]|[DisableNotifications] : 1 -> 0
    Réparé : [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyDomainProfile]|[EnableFirewall] : 1 -> 0
    Réparé : [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile]|[EnableFirewall] : 1 -> 0
    Réparé : [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile]|[EnableFirewall] : 1 -> 0

    ¤¤¤¤¤¤¤¤¤¤ | Correction des services

    Réparé : [agp440] : 3 -> 2
    Réparé : [EapHost] : 3 -> 2
    Réparé : [SharedAccess] : 3 -> 2
    Réparé : [wudfsvc] : 3 -> 2
    Réparé : [WerSvc] : 3 -> 2

    ¤¤¤¤¤¤¤¤¤¤ | Internet Explorer

    Réparé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000SoftwareMicrosoftInternet ExplorerMain]|[Search Bar] : http://www.google.com” onclick=”window.open(this.href);return false; -> http://www.google.com/” onclick=”window.open(this.href);return false;
    Réparé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000SoftwareMicrosoftInternet ExplorerMain]|[Start Page] : http://www.mystart.com/?pr=vmn&id=toolbarcleaner&v=1_1_1_4&ent=hp_4802” onclick=”window.open(this.href);return false; -> http://www.google.com/” onclick=”window.open(this.href);return false;
    Réparé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000SoftwareMicrosoftInternet ExplorerMain]|[Local Page] : C:Windowssystem32blank.htm -> C:WindowsSysWOW64blank.htm
    Réparé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000SoftwareMicrosoftInternet ExplorerMain]|[Search Page] : http://www.google.com” onclick=”window.open(this.href);return false; -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch” onclick=”window.open(this.href);return false;
    Réparé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000SoftwareMicrosoftInternet ExplorerSearch]|[Default_Search_URL] : http://www.google.com” onclick=”window.open(this.href);return false; -> http://go.microsoft.com/fwlink/?LinkId=54896” onclick=”window.open(this.href);return false;
    Réparé : [64][HKLMSoftwareMicrosoftInternet ExplorerMain]|[Start Page] : http://go.microsoft.com/fwlink/p/?LinkId=255141” onclick=”window.open(this.href);return false; -> http://go.microsoft.com/fwlink/?LinkId=69157” onclick=”window.open(this.href);return false;
    Réparé : [32][HKLMSoftwareMicrosoftInternet ExplorerMain]|[Start Page] : http://go.microsoft.com/fwlink/p/?LinkId=255141” onclick=”window.open(this.href);return false; -> http://go.microsoft.com/fwlink/?LinkId=69157” onclick=”window.open(this.href);return false;
    Réparé : [32][HKLMSoftwareMicrosoftInternet ExplorerMain]|[Local Page] : C:WindowsSystem32blank.htm -> C:WindowsSysWOW64blank.htm
    Réparé : [64][HKLMSoftwareMicrosoftInternet ExplorerMain]|[Default_Page_URL] : http://go.microsoft.com/fwlink/p/?LinkId=255141” onclick=”window.open(this.href);return false; -> http://go.microsoft.com/fwlink/?LinkId=69157” onclick=”window.open(this.href);return false;
    Réparé : [32][HKLMSoftwareMicrosoftInternet ExplorerMain]|[Default_Page_URL] : http://go.microsoft.com/fwlink/p/?LinkId=255141” onclick=”window.open(this.href);return false; -> http://go.microsoft.com/fwlink/?LinkId=69157” onclick=”window.open(this.href);return false;

    ¤

    Réparé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000SoftwareMicrosoftWindowsCurrentVersionInternet settings]|[WarnonZoneCrossing] : 0 -> 1

    ¤¤¤¤¤¤¤¤¤¤ | Hosts

    C:WindowsSystem32Driversetchosts : Nettoyé

    ¤¤¤¤¤¤¤¤¤¤ | reparsepoint

    ¤¤¤¤¤¤¤¤¤¤ | Détection des offsets

    ¤¤¤¤¤¤¤¤¤¤ | Fichiers | Dossiers | Registre

    Supprimé : C:$Recycle.binS-1-5-21-1538006027-154105240-2447379731-1000
    Supprimé : HKUS-1-5-21-1538006027-154105240-2447379731-1000SoftwareDC3_FEXEC

    Déplacé en quarantaine avec succès : C:WindowsTasksupdate-S-1-5-21-1538006027-154105240-2447379731-1000.job
    Déplacé en quarantaine avec succès : C:WindowsTasksupdate-sys.job
    Supprimé : [HKUS-1-5-21-1538006027-154105240-2447379731-1000SoftwareMicrosoftWindowsCurrentVersionRunOnce]|[toolbarcleaner_DATA_FOLDER] : cmd.exe /c rmdir “C:ProgramDataAnti-phishing Domain Advisor” /s /q
    Déplacé en quarantaine avec succès : C:ProgramDataAnti-phishing Domain Advisor

    Déplacé en quarantaine avec succès : C:UsersPhilAppDataRoamingDOK52P4Q3J.dat
    Déplacé en quarantaine avec succès : C:UsersPhilAppDataLocalwinrar-64Bit-400.exe
    Déplacé en quarantaine avec succès : C:UsersPhilAppDataRoamingdclogs
    Déplacé en quarantaine avec succès : C:setup.dll
    Déplacé en quarantaine avec succès : C:UsersPhilAppDataLocalmicrosoftwindowsWebCacheLock.dat
    Déplacé en quarantaine avec succès : C:Windowsassemblytmp

    ¤¤¤¤¤¤¤¤¤¤ | ADS

    Prefetch -> Nettoyé

    J: : Vaccinated (Vaccin created by Pre_Scan)

    ¤¤¤¤¤¤¤¤¤¤ | Hidden files

    ~ [Drive J:] : Hidden : 14 | Restored : 13
    ~ [Drive C:] : Hidden : 1 | Restored : 1
    ~ [Program Files] : Hidden : 10 | Restored : 10
    ~ [Users] : Hidden : 2 | Restored : 2
    ~ [Music] : Hidden : 2 | Restored : 2
    ~ [Documents] : Hidden : 4 | Restored : 4
    ~ [Desktop] : Hidden : 1 | Restored : 1
    ~ [Searches] : Hidden : 2 | Restored : 2
    ~ [Windows] : Hidden : 37 | Restored : 37
    ~ [Start Menu | Programs | Startup] : Hidden : 1 | Restored : 1
    ~ [Libraries] : Hidden : 31 | Restored : 31

    ¤¤¤¤¤¤¤¤¤¤ | Contrôle des partitions

    Disk: 0 Size=477G
    Pos MBRndx Type/Name Size Active Hide Start Sector Sectors



    —-


    —-



    0 0 27-UNKNWN 1.5G Yes No 2,048 3,072,000
    1 1 07-NTFS 459G No No 3,074,048 939,812,864
    2 2 17-NTFS 17G No Yes 942,886,912 33,886,208

    ¤¤¤¤¤¤¤¤¤¤

    [HKLM64 | Winlogon] | AutoRestartShell : 0 -> 1

    End : 20:01:32

    Mise en veille restaurée
    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤ – 351

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    ok suite à l’utilisation d’usbfix , tu changeras tous tes mots de passe ils ont été volés par un système de récupération de tout ce que tu tapes au clavier

    tu pourras voir ce qui a été pris dans C:Pre_ScanQuarantineC’_Users_Phil_AppData_Roaming_dclogs.P_S

    dans ce dossier , tu peux ouvrir tous les ficheirs avec le bloc notes et consulter ce qui a été récupéré ( même si il n’y a rien de problematique pour toi , change quand meme , ca coute rien et c’est plus sécure pour toi .

    mais avant :

    • Télécharge UsbFix (de El Desaparecido) sur ton Bureau !
    • Branche toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Choisis l’option Nettoyage

    • Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse
    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    [norephelpe:1ixrcwqc][/norephelpe:1ixrcwqc]

    mixer49
    Participant
    Nombre d'articles : 6

    Il est résolu.Grâce à ton aide !
    Merci

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    la désinfection n’était pas terminée , mais puisque ca te convient comme ca , bonne route :)

12 sujets de 1 à 12 (sur un total de 12)
  • Vous devez être connecté pour répondre à ce sujet.