FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Dialto.]

Bonjour,

En cherchant sur internet ce qu'était "search protect" j'ai vite compris que c'était un logiciel malveillant qu' il fallait vite désinstaller. Pour cela j 'ai suivi les conseil des forums:
-installer AdwCleaner v3.019
-fais un scanner
-nettoyer
Le PC a redémarré et je me retrouve avec un rapport dans word dont je ne sais pas trop quoi faire !
( je le copie à la suite)
En outre depuis le redémarrage, avast n 'arrête pas de s'affoler en détectant des menaces presque à chaque fois que je bouge le petit doigt.  
Quelqu 'un peut il m 'aider pour la suite des évènements? Et me donner un coup de main pour nettoyer mon PC ?
Merci beaucoup de votre aide par avance ! Heureusement que vous êtes là. 

[g3n-h@ckm@n]

salut poste le rapport en txt hébergé sur http://cjoint.com et donne le lien obtenu

[Dialto]

Salut,
Voilà le lien :
http://cjoint.com/?3BsoSs1Ab6C

Merci de ton aide

[g3n-h@ckm@n]

• Désactive ton antivirus
• Télécharge Shortcut_Module (de g3n-h@ckm@n) sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
  
  
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  Note : Patiente le temps du scan
• Après le redémarrage relance l'outil et clique sur le petit "R" pour ouvrir le rapport , puis poste son contenu

[Dialto]

Voila le rapport :

¤¤¤¤¤¤¤¤¤¤ | Shortcut_Module | g3n-h@ckm@n | 18.02.2014.4

¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 15:13:31 - 18/02/2014

Mis à jour le : 18/02/2014 | 14.00 par g3n-h@ckm@n

Contact : http://www.sosvirus.net

Boot : Normal

Système : Windows 8 (64 bits) Core

Mémoire RAM = Total (MB) : 6258 | Libre (MB) : 4603
Pagefile = Total (MB) : 7241 | Libre (MB) : 5472
Virtuelle = Total (MB) : 4194 | Libre (MB) : 4013

¤¤¤¤¤¤¤¤¤¤ | Mises à jour Windows

Aucune mise à jour détectée !!!


972 | C:\windows\system32\atiesrxx.exe (.AMD - AMD External Events Service Module.) - (6.14.11.1126) - C:\windows\system32\atiesrxx.exe
344 | C:\windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.2.9200.16420) - C:\windows\System32\svchost.exe -k LocalSystemNetworkRestricted
528 | C:\windows\system32\atieclxx.exe (.AMD - AMD External Events Client Module.) - (6.14.11.1126) - atieclxx
1520 | C:\Program Files (x86)\TOSHIBA\Password Utility\GFNEXSrv.exe (. - GFNEXSrv.) - (2.0.0.7) - "C:\Program Files (x86)\TOSHIBA\Password Utility\GFNEXSrv.exe"
1672 | C:\windows\System32\spoolsv.exe (.Microsoft Corporation - Application sous-système spouleur.) - (6.2.9200.16384) - C:\windows\System32\spoolsv.exe
1856 | C:\Program Files\Intel\iCLS Client\HeciServer.exe (.Intel(R) Corporation - Intel(R) Capability Licensing Service Interface.) - (1.24.388.1) - "C:\Program Files\Intel\iCLS Client\HeciServer.exe"
1912 | C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (.Intel Corporation - Intel(R) Dynamic Application Loader Host Interface.) - (8.1.0.1252) - "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe"
2028 | c:\Program Files\SavingsbullFilter\SavingsbullFilterService64.exe (. - .) - (0.0.0.0) - "c:\Program Files\SavingsbullFilter\SavingsbullFilterService64.exe"
1168 | C:\windows\system32\ThpSrv.exe (.TOSHIBA Corporation - TOSHIBA HDD Protection Service.) - (2.0.2.9) - C:\windows\system32\ThpSrv.exe
868 | C:\Windows\system32\TODDSrv.exe (.TOSHIBA Corporation - TDCSrv Application.) - (1.0.0.7) - C:\Windows\system32\TODDSrv.exe
1132 | C:\Program Files\TOSHIBA\Teco\TecoService.exe (.TOSHIBA Corporation - TOSHIBA eco Utility Service.) - (2.0.0.2) - "C:\Program Files\TOSHIBA\Teco\TecoService.exe"
2424 | C:\windows\system32\taskhostex.exe (.Microsoft Corporation - Processus hôte pour Tâches Windows.) - (6.2.9200.16547) - taskhostex.exe
2552 | C:\windows\Explorer.EXE (.Microsoft Corporation - Explorateur Windows.) - (6.2.9200.16628) - C:\windows\Explorer.EXE
3036 | C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (.Synaptics Incorporated - Synaptics TouchPad Enhancements.) - (16.2.10.3) - "\Program Files\Synaptics\SynTP\SynTPEnh.exe"
3188 | C:\windows\system32\SearchIndexer.exe (.Microsoft Corporation - Indexeur Microsoft Windows Search.) - (7.0.9200.16578) - C:\windows\system32\SearchIndexer.exe /Embedding
3612 | C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE (.Synaptics Incorporated - Synaptics Pointing Device Helper.) - (16.2.10.3) - "C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE"
3712 | C:\Program Files (x86)\TOSHIBA\System Setting\TSleepSrv.exe (.TOSHIBA Corporation - Sleep and Charge Service.) - (1.0.0.0) - "C:\Program Files (x86)\TOSHIBA\System Setting\TSleepSrv.exe"
3728 | C:\Program Files (x86)\TOSHIBA\System Setting\TODDMain.exe (. - TOSHIBA System Settings Service.) - (1.0.0.8) - "C:\Program Files (x86)\TOSHIBA\System Setting\TODDMain.exe"
3764 | C:\Program Files\TOSHIBA\Teco\TecoResident.exe (.TOSHIBA Corporation - Resident module of eco Utility.) - (2.0.0.1) - "C:\Program Files\TOSHIBA\Teco\TecoResident.exe"
3820 | C:\Windows\System32\ThpSrv.exe (.TOSHIBA Corporation - TOSHIBA HDD Protection Service.) - (2.0.2.9) - "C:\Windows\System32\ThpSrv.exe" /logon
3852 | C:\Users\USER\AppData\Roaming\uTorrent\uTorrent.exe (.BitTorrent Inc. - µTorrent.) - (3.3.2.30303) - "C:\Users\USER\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED
3960 | C:\Program Files\HP\HP ENVY 4500 series\Bin\ScanToPCActivationApp.exe (.Hewlett-Packard Co. - ScanToPCActivationApp.) - (30.0.1093.41190) - "C:\Program Files\HP\HP ENVY 4500 series\Bin\ScanToPCActivationApp.exe" -deviceID "CN39C2P8SB05X4:NW" -scfn "HP ENVY 4500 series (NET)" -AutoStart 1
4088 | C:\windows\system32\RunDll32.exe (.Microsoft Corporation - Processus hôte Windows (Rundll32).) - (6.2.9200.16384) - "C:\windows\system32\RunDll32.exe" "C:\Program Files\HP\HP ENVY 4500 series\bin\HPStatusBL.dll",RunDLLEntry SERIALNUMBER=CN39C2P8SB05X4;CONNECTION=NW;MONITOR=1;
2668 | C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe (.Hewlett-Packard - hpwuSchd Application.) - (80.1.1.0) - "C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe"
3444 | C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (.OpenOffice.org - OpenOffice.org 3.4.1.) - (3.4.9593.500) - "C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe" -quickstart
3708 | C:\Program Files\HP\HP ENVY 4500 series\Bin\HPNetworkCommunicatorCom.exe (.Hewlett-Packard Co. - HPNetworkCommunicatorCom.) - (30.0.1093.41190) - "C:\Program Files\HP\HP ENVY 4500 series\Bin\HPNetworkCommunicatorCom.exe" -Embedding
4068 | C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (.OpenOffice.org - OpenOffice.org 3.4.1.) - (3.4.9593.500) - "C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe" "-quickstart" "-env:OOO_CWD=2C:\\Program Files (x86)\\OpenOffice.org 3\\program"
4220 | C:\windows\splwow64.exe (.Microsoft Corporation - Print driver host for applications.) - (6.2.9200.16384) - C:\windows\splwow64.exe 8192
3800 | C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe (.Intel Corporation - Intel(R) ME Service.) - (8.1.0.1256) - "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\FWService\IntelMeFWService.exe"
4304 | C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (.Intel Corporation - Local Manageability Service.) - (8.1.0.1252) - "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe"
4336 | C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (.Intel Corporation - User Notification Service.) - (8.1.0.1252) - "C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe"
1432 | C:\Program Files\TOSHIBA\TPHM\TPCHSrv.exe (.TOSHIBA Corporation - TOSHIBA PC Health Monitor.) - (1.0.0.18) - "C:\Program Files\TOSHIBA\TPHM\TPCHSrv.exe"
3432 | C:\Program Files\TOSHIBA\TPHM\TPCHWMsg.exe (.TOSHIBA Corporation - TOSHIBA PC Health Monitor.) - (1.0.0.10) - "C:\Program Files\TOSHIBA\TPHM\TPCHWMsg.exe"
5012 | C:\Program Files (x86)\Mozilla Firefox\firefox.exe (.Mozilla Corporation - Firefox.) - (27.0.1.5156) - "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
4008 | C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (.Advanced Micro Devices Inc. - Catalyst Control Center: Monitoring program.) - (2.0.0.0) - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM" PriorityLow
4912 | C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (.ATI Technologies Inc. - Catalyst Control Center: Host application.) - (3.5.0.0) - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe" 0
5060 | C:\Program Files (x86)\Toshiba TEMPRO\Toshiba.Tempro.UI.CommonNotifier.exe (.Toshiba Europe GmbH - Toshiba TEMPRO.) - (4.2.1.0) - "C:\Program Files (x86)\Toshiba TEMPRO\Toshiba.Tempro.UI.CommonNotifier.exe"
4196 | C:\windows\SysWOW64\ctfmon.exe (.Microsoft Corporation - Chargeur CTF.) - (6.2.9200.16384) - ctfmon.exe

¤¤¤¤¤¤¤¤¤¤ | Services

Supprimé avec succès : HKLM\..\ControlSet001\Services\SavingsbullFilterService64 : c:\Program Files\SavingsbullFilter\SavingsbullFilterService64.exe

¤¤¤¤¤¤¤¤¤¤ | Registre

Supprimé avec succès : HKCR\WPD.WindowsPortableDeviceTask.1
Supprimé avec succès : HKCR\CLSID\{148BD520-A2AB-11CE-B11F-00AA00530503} : %systemroot%\System32\mstask.dll
Supprimé avec succès : HKCR\CLSID\{148BD52A-A2AB-11CE-B11F-00AA00530503} : %systemroot%\System32\mstask.dll
Supprimé avec succès : HKCR\CLSID\{7c83c056-1d0d-4c8e-a6b0-89e79c213559} : %systemroot%\system32\oobe\SetupCleanupTask.dll
Supprimé avec succès : HKCR\TypeLib\{075A93E5-6F93-491A-8098-F9332382FB02} : C:\Users\USER\AppData\Local\Temp\Word8.0\MSForms.exd
Supprimé avec succès : HKCR\TypeLib\{17734227-EAAA-4C5E-9AA3-036AD981B3A6} : C:\Program Files (x86)\Nosibay\Bubble Dock\extensions\axSurfMatch.dll
Supprimé avec succès : HKCR\Interface\{8C973B84-E6DA-49D8-B786-9C93C2E587F5} : {17734227-EAAA-4C5E-9AA3-036AD981B3A6}
Supprimé avec succès : HKLM\Software\SavingsbullFilter
Supprimé avec succès : [64]HKLM\Software\Savings Bull
Supprimé avec succès : HKU\S-1-5-18\Software\AskPartnerNetwork
Supprimé avec succès : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B665EFB0-6CD4-45DF-9D97-7558E12259D0} : Mysearchdial
Supprimé avec succès : [64]HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B665EFB0-6CD4-45DF-9D97-7558E12259D0} : Mysearchdial
Supprimé avec succès : HKU\S-1-5-21-2286380166-966015806-3490466094-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{51967440-ABD2-5F09-CB6D-0EF5CEFEF300} : http://search.conduit.com/Results.aspx? ... earchTerms}
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5] : C:\Program Files (x86)\Iminent\inst\Bootstrapper\Bootstrapper.exe
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\09163B852FC1D3E40926BB4131AF93C7] : C:\Users\ADMINI~1\AppData\Local\Temp\UIAutomationTypes.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\13E957FE2EDD5C35096E6F11313C5106] : C:\Program Files\HP\HP ENVY 4500 series\Bin\UDC_Files\img\helpsupport.png
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\216F88E93A00F2B5494EDDCFD502D42E] : c:\Program Files\SavingsbullFilter\Installbat64.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375] : 02:\SOFTWARE\Iminent\AppInstanceUid
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29A312497C4F42043B9ABDC9C9642910] : C:\Users\ADMINI~1\AppData\Local\Temp\PresentationFramework.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\32DA746012E6D4F488AAD113D6FA4A44] : c:\Program Files\SavingsbullFilter\
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\43C098337DB065A49B665D4EA7F16D1C] : C:\Program Files (x86)\Iminent\StartWeb.xml
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6C63F7979DCC2154CB9591969A5CB89D] : 02:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP\UserSettings
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6E57992E78D3ECB52A43797B178A03CC] : c:\Program Files\SavingsbullFilter\SvcConfig64.exe
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\82306010F2A8A02519C2D6D1A4B48415] : c:\Program Files\SavingsbullFilter\nfapi.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\8A3F3FA56FA5ABA4797DB2984B6442C3] : C:\Users\USER\AppData\Local\Temp\
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9F846042505E5D94DBDDBB47C7DB2459] : C:\Users\ADMINI~1\AppData\Local\Temp\UIAutomationProvider.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A71991503412AEB42838B02C5ED9F9CD] : C:\Program Files (x86)\Iminent\USearch.xml
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A967E3FCBA31F9545A9A923717B8AB25] : C:\Users\ADMINI~1\AppData\Local\Temp\PresentationCore.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AF767AE36C8829547ACD71A4249A42B9] : c:\Program Files\SavingsbullFilter\SavingsbullFilterService64.exe
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B5A3D970028CA2A5C9EFA01AAB3969F7] : c:\Program Files\SavingsbullFilter\SvcControl64.exe
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BC49537A41FB0CA51E1932AAD0F342DF] : C:\?Program Files (x86)\TOSHIBA\TOSHIBA VIDEO PLAYER\Plug-in\RTPPMovie\RTPPMoviePlugin.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BE7277F87A24C3440AC205F5D6B1340D] : C:\Users\ADMINI~1\AppData\Local\Temp\WindowsBase.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\C6B331E078AA59D48A5C4FAE68AC5CAA] : C:\Users\ADMINI~1\AppData\Local\Temp\WindowsFormsIntegration.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CE5F4426D77DE25469C61DD24DF05969] : C:\Users\ADMINI~1\AppData\Local\Temp\ReachFramework.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E9A2A2663AD8ED75E83332ACA3689A31] : c:\Program Files\SavingsbullFilter\ProtocolFilters.dll
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F620C26C7DF77A55994BA1A7DB9C43F8] : C:\Program Files\HP\HP ENVY 4500 series\Bin\UDC_Files\TaskImg\Savings.png
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F7652513C62FF63448CFF05163719DB7] : C:\Program Files (x86)\Iminent\SearchTheWeb.xml
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FDCBFFB76F9A2B15D9A475A10FA793A6] : c:\Program Files\SavingsbullFilter\nfregdrv.exe
Supprimé avec succès : [64]HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FDDA85A9F0782555FA49EE35C1D118A5] : c:\Program Files\SavingsbullFilter\netfilter64.sys

¤¤¤¤¤¤¤¤¤¤ | Dossiers

Supprimé avec succès : C:\Users\USER\AppData\Roaming\Bubble Dock.boostrap.log
Supprimé avec succès : C:\Users\USER\AppData\Roaming\Bubble Dock.installation.log
Supprimé avec succès : C:\Program Files\SavingsbullFilter

¤¤¤¤¤¤¤¤¤¤ | Détournements de raccourcis


¤¤¤¤¤¤¤¤¤¤ | Détournement internet Explorer

Réparé : [HKU\S-1-5-21-2286380166-966015806-3490466094-1001\Software\Microsoft\Internet Explorer\Main]|[Search Bar] : http://www.bing.com - http://www.google.com/
Réparé : [HKU\S-1-5-21-2286380166-966015806-3490466094-1001\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://www.google.com - http://www.google.com/
Réparé : [HKU\S-1-5-21-2286380166-966015806-3490466094-1001\Software\Microsoft\Internet Explorer\Main]|[Local Page] : C:\windows\system32\blank.htm - C:\windows\SysWOW64\blank.htm
Réparé : [HKU\S-1-5-21-2286380166-966015806-3490466094-1001\Software\Microsoft\Internet Explorer\Main]|[Search Page] : http://go.microsoft.com/fwlink/?LinkId=54896 - http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Réparé : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://www.google.com - http://go.microsoft.com/fwlink/?LinkId=69157
Réparé : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Default_Page_URL] : http://go.microsoft.com/fwlink/p/?LinkId=255141 - http://go.microsoft.com/fwlink/?LinkId=69157
Réparé : [HKLM\Software\Microsoft\Internet Explorer\AboutURLs]|[Tabs] : http://www.google.com - res://ieframe.dll/tabswelcome.htm
Réparé : [HKLM64\Software\Microsoft\Internet Explorer\Main]|[Start Page] : http://www.google.com - http://go.microsoft.com/fwlink/?LinkId=69157
Réparé : [HKLM64\Software\Microsoft\Internet Explorer\Main]|[Local Page] : C:\Windows\System32\blank.htm - C:\windows\SysWOW64\blank.htm
Réparé : [HKLM64\Software\Microsoft\Internet Explorer\Main]|[Default_Page_URL] : http://go.microsoft.com/fwlink/p/?LinkId=255141 - http://go.microsoft.com/fwlink/?LinkId=69157
Réparé : [HKU\S-1-5-21-2286380166-966015806-3490466094-1001\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 - 1

¤¤¤¤¤¤¤¤¤¤ | Détournement Google Chrome


¤¤¤¤¤¤¤¤¤¤ | Détournement Firefox


¤¤¤¤¤¤¤¤¤¤ | Détournement des clés StartMenuInternet

Réparé : [HKLM\Software\Clients\StartMenuInternet\IExplore.exe\shell\open\command] : C:\Program Files\Internet Explorer\iexplore.exe - "C:\Program Files (x86)\Internet Explorer\iexplore.exe"

¤¤¤¤¤¤¤¤¤¤ | AppInit_DLLs



Réparé : [HKLM64\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[AppInit_DLLS] : c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll -
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[LoadAppInit_DLLs] : 1

¤¤¤¤¤¤¤¤¤¤ | Détournement Javascript


¤¤¤¤¤¤¤¤¤¤ | Firewall

Réparé : [HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]|[EnableFirewall] : 1 - 0
Réparé : [HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]|[EnableFirewall] : 1 - 0
Réparé : [HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]|[EnableFirewall] : 1 - 0


¤¤¤¤¤¤¤¤¤¤ | Fichiers temporaires



¤¤¤¤¤¤¤¤¤¤ |EOF| ¤¤¤¤¤¤¤¤¤¤

[Dialto]

Qu'est ce que tu en penses ?
C'est quoi le système 32 de windows ?
J' ai réactivé mon antivirus en attendant ( avast gratuit) mais je n 'ai pas réussi à activer le parefeu, il ne veux pas démarrer.

C'est toi qui à créé " shortcut module" ?
Désolé sije pose trop de question,j 'essaye d'en savoir un peu plus sur mon ordi pour essayer de le protéger correctement et dene pas faire nimporte quoi sur internet. J 'essaye de m 'instruire un peu !

[g3n-h@ckm@n]

ne t'inquiète pas tout te sera indiqué en fin de desinfection c'est prévu ^^
(on fait pas les choses à moitié ici lol !! )
oui c'est moi qui ai fait Shortcut_Module )

le system32 de windows c'est le coeur du systeme sans lui ton pc marcherait pas ^^

•    
• Télécharge MalwareBytes Anti-Malware
     
• Installe le. Décoche "Activer l'essai gratuit de Malwarebytes Anti-Malware PRO"
  
     
• Lance Malwarebytes' Anti-Malware.
     
• Clic sur l'onglet "Mises à jours" puis sur "Rechercher des mises à jours"
     
• Clic sur l'onglet "Recherche", coche "éxécuter un examen complet" puis clic sur Rechercher
  
     
  
  
     
• A la fin de l'analyse, si MBAM n'a rien trouvé :
     
• Clic sur OK, le rapport s'ouvre spontanément

   

• Si des menaces ont été détectées :
     
• Clic sur OK puis "Afficher les résultats"
     
• Choisis l'option "Supprimer la sélection"
     
• Si MBAM demande le redémarrage de Windows : Clic sur "Oui"
     
• Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
     
• Sinon le rapport s'ouvre automatiquement après la suppression
     
• Poste le rapport dans ta prochaine réponse

   

[Dialto]

Ok. Merci monsieur le développeur !
Ca bosse dur... déjà 15 éléments détectés. ca bosse, ça bosse...

[g3n-h@ckm@n]

^^

[Dialto]

Voila le rapport : un truc illisible !!?

ÿþM#a#l#w#a#r#e#b#y#t#e#s# #A#n#t#i#-#M#a#l#w#a#r#e# #1#.#7#5#.#0#.#1#3#0#0#a#t#a#\#L#o#c#a#l#\#M#i#c#r#o#s#o#f#t#\#W#i#n#d#o#w#s#\#T#e#m#p#o#r#a#r#y# #I#n#t#e#r#n#e#t# #F#i#l#e#s#\#C#o#n#t#e#n#t#.#I#E#5#\#B#E#I#Y#4#G#L#9#\#S#P#S#e#t#u#p#[#1#]#.#e#x#e# #(#P#U#P#.#O#p#t#i#o#n#a#l#.#C#o#n#d#u#i#t#.#A#)# #-## #M#i#s# #e#n# #q#u#a#r#a#n#t#a#i#n#e# #e#t# #s#u#p#p#r#i#m#é# #a#v#e#c# #s#u#c#c#è#s#.#

[g3n-h@ckm@n]

heberge-le sur cjoint.com

[Dialto]

me revoilà !
Le lien pour le rapport : http://cjoint.com/?3BupnqnMviQ

[g3n-h@ckm@n]

c'est quoi ce truc de fou ? j'ai jamais vu ca ! ^^

[Dialto]

Bah oui c'est bizare. C'est pourtant bien le rapport Malwarebytes après une bonne 40 min de scan...

[Dialto]

Peut être dois je ouvrir et enregistrer le rapport avec un autre jeu de caractère ?

[Dialto]

Lorsque je clic sur "ouvrir", une fenêtre intitulée "Option de filtre ASCII " apparait.
Je dois alors choisir un jeu de caractère, une police, une langue et un Saut de paragraphe.
J 'ai choisi: Europe occidentale (windows-1252/WinLatin 1), Time new roman, Français et CR

[Dialto]

Je dois filer. je me reconnecterais demain matin ou peut être ce soir. Bonne soirée et à bientôt ! j 'espère que tu vas trouver. En tout cas avast ne s'affole plus pour l 'instant
Merci et à bientôt!

[g3n-h@ckm@n]

• Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !
  
  Note : Pendant le scan le bureau peu disparaître à plusieurs reprises
• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )
• Télécharge Pre_Scan sur ton bureau !
• Si le lien n'est pas fonctionnel :
• #ICI (renommé winlogon)

[*]Note : Si l'outil est relancé plusieurs fois, clique sur Scan|Kill




[*]Si l'outil est bloqué par l'infection essaye avec d'autres exetensions :

[*]#SCR
[*]#PIF
[*]#COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

[*]Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

[Dialto]

Ecran bleu !
J 'ai téléchargé pré scan sur mon bureau, je l 'ai lancé, il a scaner l 'ordi et maintenant j 'ai un écran tout bleu, je ne peux plus rien faire, il apparait au démarrage de ma session.
J 'écris d'un autre ordi.

[Dialto]

j'ai récupéré mon bureau en éteignant et rallumant à la sauvage plusieurs fois mon PC. Je relance un scan...

[Dialto]

Voila le rapport :
http://cjoint.com/?3BvpQcUdP88

[Dialto]

Et le premier: http://cjoint.com/?3BvpYVjmA5c
hé oui, j 'en ai fais deux sans trop m 'en rendre compte avec cette histoire d'écran bleu !

[g3n-h@ckm@n]

relance l outil , clique sur diag , puis heberge c:\pre_diag_xx_xx_xx_xx_xx_xx.txt sur http://cjoint.com et donne le lien

[Dialto]

Le voila : http://cjoint.com/?3Bvr2Hv5v9G

[Dialto]

Toujours là g3n ?

[g3n-h@ckm@n]

re

désinstalle tout java

=====


sélectionne tout ce texte , puis CTRL + C

Kill::
All

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[]
[HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[]
[HKLM64\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}]
[HKU\S-1-5-21-2286380166-966015806-3490466094-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{318A227B-5E9F-45BD-8999-7F8F10CA4CF5}]
[HKLM64\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}]
[HKLM\Software\Google\Chrome\Extensions\kbjlipmgfoamgjaogmbihaffnpkpjajp]
[HKLM\SYSTEM\ControlSet001\services\Tcpip\Parameters\Interfaces\{E301BB99-7CDD-4C1F-BA49-07A1074D3434}]|[DhcpNameServer]
[HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{E301BB99-7CDD-4C1F-BA49-07A1074D3434}]|[DhcpNameServer]
[HKU\S-1-5-21-2286380166-966015806-3490466094-1001\Software\(null)]
[HKLM64\Software\SavingsBull Filter]

File|Fold::
C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbjlipmgfoamgjaogmbihaffnpkpjajp
C:\Users\USER\AppData\Local\avgchrome
C:\Program Files\office.tmp

MBR::
yes

Clean::
yes

reboot::
yes

puis relance Pre_Scan qui se trouve sur ton bureau , et clique sur Script.
L'outil va travailler instantanément , pas besoin de coller nullepart.
des fenetres noires peuvent clignoter , laisse-le travailler.
poste C:\Pre_Scrit.txt_xx_xx_xx.txt dans ta prochaine réponse.

[Dialto]

Bonjour G3n !

Voilà le rapport http://cjoint.com/?3BBx5ArHNFp

merci !

[g3n-h@ckm@n]

heu....je sais pas ce qui s'est passé mais à mon avis l outil a été bloqué par ton antivirus

[Dialto]

Je fais quoi du coup?

Je recommence en enlevant la protection avast ?

[g3n-h@ckm@n]

oui

[Dialto]

le rapport http://cjoint.com/?3CeuAOaCidF

Ca a pas bossé longtemps.

[g3n-h@ckm@n]

t'as pas selectionné le texte avant

[Dialto]

Bonjour,
j 'ai relancé un scan en enlevant définitivement mon antivirus. L 'ordinateur mouline depuis 5 jours. Est ce normal ? Comment l 'arréter car je dois travailler avec mon ordi. Je ne pensais pas que ça durerait si longtemps. Merci !

[g3n-h@ckm@n]

ahah salut

bah t'aurais du avertir avant !!

fais ctrl + alt + supp , gestionnaire des taches , onglet fichier , nouvelle tache , puis tape explorer.exe , puis redemarre via le menu demarrer normalement

[Dialto]

hello !
ctrl+ alt + supprime ça marche pas du tout! L'autre continue de mouliner tranquil...
Une autre idée ?
Sinon ça risque de durée combien de temps ce scan de fou !??

[g3n-h@ckm@n]

il est bizarre ton pc

coucou redemarre-le en force alors avec le bouton

[Dialto]

merci ! bon je fini mon taf ... et je relance ce scan de ouf juste après ! Combien de temps je dois compter G3n pour le scaner de la mort ? Pour que je puisse m 'organiser un peu. Sachant qu'il moulinait déjà depuis 5 jours.
.

[g3n-h@ckm@n]

nan mais laisse tomber on va utiliser autre chose s'il veut pas de cet outil

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Dialto]

Salut G3 ! désolée de cette absence un peu longue. J 'étais en voyage et me revoilà !
Je fais les manip et envoie le rapport....
A bientôt

[g3n-h@ckm@n]