PC à nettoyer

Répondre

PC à nettoyer#122624

par Eric 92100 - dim. 27 avr. 2014 20:21

- dim. 27 avr. 2014 20:21 #122624

bonjour,

j'ai commencé à nettoyer le PC de ma fille car elle avait des extensions dans Chrome ainsi que la page AwesomeHP qui s'ouvrait systématiquement. de plus, je veux supprimer les logiciels de streaming ou de téléchargements qu'elle a.
pour cela, j'ai utilisé adwcleaner et ccleaner qui ont nettoyé une partie.

ensuite j'ai lancé le rapport ZHPDiag. il est ici : http://cjoint.com/?3DBuq7ATbkY
je ne sais pas comment utiliser ZHPFix.

merci de votre aide

Eric

PC à nettoyer#122726

par g3n-h@ckm@n - lun. 28 avr. 2014 10:38

- lun. 28 avr. 2014 10:38 #122726

salut

Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
Télécharge Shortcut_Module sur ton bureau.

Note : Enregistrer votre travail avant de continuer !
Lance Shortcut_Module,
Clic sur Nettoyer

Note : Patiente le temps du scan
Laisse travailler l'outil même s'il te parait bloqué
Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

Re: PC à nettoyer#122789

par Eric92100 - lun. 28 avr. 2014 13:37

- lun. 28 avr. 2014 13:37 #122789

merci de te démener pour moi
voici le lien vers le fichier résultat de Shortcut : http://upload.sosvirus.net/www/?a=di=tJD4Uoqblr

Eric

PC à nettoyer#123021

par g3n-h@ckm@n - mar. 29 avr. 2014 09:21

- mar. 29 avr. 2014 09:21 #123021

re

bien

Copie le script ci dessous :

HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
%programFiles%\*
%programfiles%\Google\Desktop\Install /s
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir %Homedrive%\* /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT
Télécharge OTL (by OldTimer) sur ton bureau.
Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
Coche/Sélectionne les cases comme l'image ci dessous
Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
Clique sur Analyse
Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

En cas de problème avec SOSUpload, utiliser Cjoint

Re: PC à nettoyer#123163

par Eric92100 - mar. 29 avr. 2014 19:31

- mar. 29 avr. 2014 19:31 #123163

merci encore pour ton aide.

voici le fichier Extra : http://upload.sosvirus.net/www/?a=di=1XPhvShsUL
et le fichier OTL : http://upload.sosvirus.net/www/?a=di=NgU1vvLuvs

merci
Eric

PC à nettoyer#123251

par g3n-h@ckm@n - mer. 30 avr. 2014 12:53

- mer. 30 avr. 2014 12:53 #123251

Télécharge MalwareBytes
Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
Clic sur Mettre à jour (à droite, au centre)
Clic sur Examen (en haut)
Sélectionne Examen "Menaces"
Clic sur Examiner maintenant
A la fin du scan clic sur Tout mettre en quarantaine !
Clic sur Copier dans le Presse-papiers
Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

Re: PC à nettoyer#123337

par Eric92100 - mer. 30 avr. 2014 19:49

- mer. 30 avr. 2014 19:49 #123337

merci

a la fin du scan, j'ai cliqué sur "quarantine all" (le prog est en anglais) puis sur "copy to clipboard" mais rien n'est apparu.
j'ai donc fait "export log". voici le contenu de ce fichier comme tu m'as demandé :

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Scan Date: 30/04/2014
Scan Time: 19:39:58
Logfile: malware.txt
Administrator: Yes

Version: 2.00.1.1004
Malware Database: v2014.04.30.07
Rootkit Database: v2014.03.27.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Chameleon: Disabled

OS: Windows Vista Service Pack 2
CPU: x86
File System: NTFS
User: léa

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 245339
Time Elapsed: 32 min, 36 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Shuriken: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 9
PUP.Optional.iVIDI.A, HKLM\SOFTWARE\CLASSES\APPID\{685F23D9-FCFD-475C-B56A-362645945C5A}, Quarantined, [91ee83ad384322142fe9e7378a788d73],
PUP.Optional.SupTab.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}, Quarantined, [b9c684ac037891a552d28b935fa38878],
PUP.Optional.SupTab.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}, Quarantined, [b9c684ac037891a552d28b935fa38878],
PUP.Optional.Hosts.A, HKLM\SOFTWARE\HOSTS\INSTALLER, Quarantined, [641bd35dfc7f62d4d1a2a0e6e51dae52],
PUP.Optional.Incredibar.A, HKLM\SOFTWARE\WOW6432NODE\IB Updater, Quarantined, [b5ca2e02c0bb181e64fda7cf9171b64a],
PUP.Optional.Incredibar.A, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\dlnembnfbcpjnepmfjmngjenhhajpdfd, Quarantined, [7c0389a7e794d660d48b383ea260a45c],
PUP.Optional.InstallBrain.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\WNLT, Quarantined, [136cb37dd4a7162040c0adfa46bdaf51],
PUP.Optional.Ividi.A, HKU\S-1-5-21-4272146337-2761525159-3988177561-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\iVIDI Plugin, Quarantined, [f7888ea20e6da294e72eec9e4fb38779],
PUP.Optional.Ividi.A, HKU\S-1-5-21-4272146337-2761525159-3988177561-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\iVIDI.org, Quarantined, [9ae5e749accf37ffcf473a50729030d0],

Registry Values: 5
PUP.Optional.HomePageProtector.A, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS\{336D0C35-8A85-403a-B9D2-65C292C39087}, Quarantined, [0679bf71700bf64022ae43d9857d7888],
PUP.Optional.HomePageProtector.A, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|{336D0C35-8A85-403A-B9D2-65C292C39087}, C:\Program Files\IB Updater\Firefox, Quarantined, [0679bf71700bf64022ae43d9857d7888]
PUP.Optional.Hosts.A, HKLM\SOFTWARE\HOSTS\INSTALLER|BundledIe, 1, Quarantined, [641bd35dfc7f62d4d1a2a0e6e51dae52]
PUP.Optional.Incredibar, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}, C:\Program Files\IB Updater\Firefox, Quarantined, [007f67c99fdc2c0abac2614ad330e719]
PUP.Optional.InstallBrain.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\WNLT|URL, Quarantined, [136cb37dd4a7162040c0adfa46bdaf51],

Registry Data: 0
(No malicious items detected)

Folders: 1
Adware.Seekmo, C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65, Quarantined, [a1deb27e5f1c48eee98a5ff752b07b85],

Files: 6
Trojan.ELEX, C:\Users\léa\Downloads\cleaner_ava.exe, Quarantined, [abd440f07308181ed2efc67ead540cf4],
PUP.Optional.BundleInstaller.A, C:\Users\léa\Downloads\Setup.exe, Quarantined, [84fb7db3e09b0b2b164e5bb352b209f7],
PUP.Optional.NextInt, C:\Users\léa\Downloads\ccsetup413.exe, Quarantined, [dba4db55e59643f3078bb3770afa43bd],
PUP.Optional.Domalq, C:\Users\léa\Downloads\Java (1).exe, Quarantined, [275840f0166583b3d8c851eaec14817f],
PUP.Optional.BundleInstaller.A, C:\Users\léa\Downloads\Java.exe, Quarantined, [82fded43304bfe38b2a769d7946df010],
PUP.Optional.Somoto, C:\Users\léa\Downloads\VLCMediaPlayerSetup-fJZ67uk.exe, Quarantined, [324dfc34d1aa5adc4b2fba9ea95bcc34],

Physical Sectors: 0
(No malicious items detected)

(end)

merci encore.
j'espère ne pas abuser de ton temps. ça a l'air d'être sans fin !

Eric

PC à nettoyer#123477

par g3n-h@ckm@n - jeu. 1 mai 2014 14:31

- jeu. 1 mai 2014 14:31 #123477

hello pas de soucis

refais OTL selon les recommandations prescrites

Re: PC à nettoyer#123601

par Eric92100 - jeu. 1 mai 2014 19:49

- jeu. 1 mai 2014 19:49 #123601

bonsoir,

voici le fichier Extra : http://upload.sosvirus.net/www/?a=di=aTStHju8Fb
et le fichier OTL : http://upload.sosvirus.net/www/?a=di=oDBESTqyI8

merci
Eric

PC à nettoyer#123712

par g3n-h@ckm@n - ven. 2 mai 2014 10:25

- ven. 2 mai 2014 10:25 #123712

hello tu as avast + AVG va falloir choisir

Re: PC à nettoyer#123812

par Eric92100 - ven. 2 mai 2014 18:06

- ven. 2 mai 2014 18:06 #123812

bonsoir,

en fait, j'avais AVG mais qui pour une raison inconnue ne fonctionnait plus. j'ai donc installé avast et supprimé le dossier AVG car je n'arrivais pas non plus à le désinstaller depuis le panneau de config.
s'il y a des restes de AVG sur le PC, il faut les supprimer.

merci

Eric

PC à nettoyer#123843

par g3n-h@ckm@n - ven. 2 mai 2014 19:02

- ven. 2 mai 2014 19:02 #123843

utilise ceci

http://www.clubic.com/telecharger-fiche ... mover.html

Re: PC à nettoyer#124185

par Eric92100 - dim. 4 mai 2014 00:45

- dim. 4 mai 2014 00:45 #124185

bonsoir,

j'ai lancé AVG remover puis redémarré le PC et j'ai ensuite relancé OTL. voici les 2 fichiers Extras et OTL.txt :

http://upload.sosvirus.net/www/?a=di=VMrgelr7X8
http://upload.sosvirus.net/www/?a=di=i0Wk2Q6taU

merci

Eric

PC à nettoyer#124222

par g3n-h@ckm@n - dim. 4 mai 2014 14:32

- dim. 4 mai 2014 14:32 #124222

re

bien

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\SMINST\BLService.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

Re: PC à nettoyer#124307

par Eric92100 - dim. 4 mai 2014 18:54

- dim. 4 mai 2014 18:54 #124307

bonsoir,

j'ai analysé BLservice.exe avec Virustotal. Le résultat est correct.
voici le lien
https://www.virustotal.com/fr/file/0279 ... 399222146/

est-ce que ça veut dire que le PC est nettoyé maintenant ?
ou y a-t-il d'autres programmes à lancer ?

merci

Eric

PC à nettoyer#124314

par g3n-h@ckm@n - dim. 4 mai 2014 19:29

- dim. 4 mai 2014 19:29 #124314

mouais....

j'aimerais quand meme verifier un truc

Télécharge Gmer : http://www.gmer.net/#files clique sur « Download EXE » et enregistre-le sur ton bureau

Important : Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_l ... -f31s4.htm

Ne pas utiliser l'ordinateur pendant le scan de GMER

Pour XP = double clique sur gmer.exe
Pour Vista et 7 = clique droit « executer en tant que…. »

GMER va lancer un scan automatique

s'il detecte une activité de rootkit et demande un scan complet , répondre non.

décoche IAT/EAT, ShowAll et les lecteurs (C:\ , D:\....) , et coche tout le reste

clique sur Scan

si une fenêtre indiquant un rootkit apparait clique sur OK.
Une fois le scan terminé sauvegarde le rapport sur ton bureau sous le nom gmer.log

ensuite clique sur copy, puis colle-le dans ta réponse.

Réactive tes protections.

Note: Si problèmes utiliser GMER en mode sans echec.

Re: PC à nettoyer#124367

par Eric92100 - dim. 4 mai 2014 22:11

- dim. 4 mai 2014 22:11 #124367

bonsoir,

J'ai lancé Gmer.
il n'y a eu aucun message concernant des rootkits.
voici le rapport :

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-05-04 22:06:23
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 - \Device\Ide\IAAStorageDevice-1 ST925082 rev.3.AH 232,89GB
Running: qel20by9.exe; Driver: C:\Users\LA4771~1\AppData\Local\Temp\ugliypob.sys

---- System - GMER 2.1 ----

SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwAddBootEntry [0x906F8A9C]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwAssignProcessToJobObject [0x906F957A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateEvent [0x907055C4]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateEventPair [0x90705610]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateIoCompletion [0x907057AA]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateMutant [0x90705532]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwCreateSection [0x90C0F59A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateSemaphore [0x9070557A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateThread [0x906F9AB0]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateTimer [0x90705764]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwDebugActiveProcess [0x906FA368]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwDeleteBootEntry [0x906F8B02]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwDuplicateObject [0x906FDB3C]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwLoadDriver [0x906F86EE]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwMapViewOfSection [0x90C0F67A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwModifyBootEntry [0x906F8B68]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwNotifyChangeKey [0x906FDF32]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwNotifyChangeMultipleKeys [0x906FAE50]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenEvent [0x907055EE]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenEventPair [0x90705632]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenIoCompletion [0x907057CE]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenMutant [0x90705558]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenProcess [0x906FD436]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenSection [0x907056E2]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenSemaphore [0x907055A2]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenThread [0x906FD81E]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenTimer [0x90705788]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwProtectVirtualMemory [0x90C0F41E]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwQueryObject [0x906FACC4]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwQueueApcThread [0x906FA81A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSetBootEntryOrder [0x906F8BCE]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSetBootOptions [0x906F8C34]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwSetContextThread [0x90C0F776]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSetSystemInformation [0x906F8788]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSetSystemPowerState [0x906F895A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwShutdownSystem [0x906F88E8]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSuspendProcess [0x906FA532]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSuspendThread [0x906FA694]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSystemDebugControl [0x906F89E2]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwTerminateProcess [0x90C0F4EC]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwTerminateThread [0x906FA1C2]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwVdmControl [0x906F8C9A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwWriteVirtualMemory [0x906F95D6]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateThreadEx [0x906F9CCC]

---- Kernel code sections - GMER 2.1 ----

.text ntkrnlpa.exe!KeSetEvent + 10D 822C8758 4 Bytes [9C, 8A, 6F, 90] {PUSHF ; MOV CH, [EDI-0x70]}
.text ntkrnlpa.exe!KeSetEvent + 191 822C87DC 4 Bytes [7A, 95, 6F, 90] {JP 0xffffff97; OUTS DX, DWORD [ESI]; NOP }
.text ntkrnlpa.exe!KeSetEvent + 1D1 822C881C 8 Bytes [C4, 55, 70, 90, 10, 56, 70, ...] {LES EDX, [EBP+0x70]; NOP ; ADC [ESI+0x70], DL; NOP }
.text ntkrnlpa.exe!KeSetEvent + 1DD 822C8828 4 Bytes [AA, 57, 70, 90] {STOSB ; PUSH EDI; JO 0xffffff94}
.text ntkrnlpa.exe!KeSetEvent + 1F5 822C8840 4 Bytes [32, 55, 70, 90] {XOR DL, [EBP+0x70]; NOP }
.text ...
PAGE ntkrnlpa.exe!ZwReplyWaitReceivePortEx + 110 8245600F 4 Bytes CALL 906FB513 \SystemRoot\system32\drivers\aswSnx.sys
PAGE ntkrnlpa.exe!ZwAlpcSendWaitReceivePort + 121 82459C83 4 Bytes CALL 906FB529 \SystemRoot\system32\drivers\aswSnx.sys

---- User code sections - GMER 2.1 ----

.text C:\Windows\system32\taskeng.exe[592] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\System32\spoolsv.exe[600] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\csrss.exe[624] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\wininit.exe[676] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\csrss.exe[688] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\AVAST Software\Avast\AvastUI.exe[1260] kernel32.dll!SetUnhandledExceptionFilter 75E9A9BD 8 Bytes [31, C0, C2, 04, 00, 90, 90, ...] {XOR EAX, EAX; RET 0x4; NOP ; NOP ; NOP }
.text C:\Program Files\AVAST Software\Avast\AvastUI.exe[1260] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\AUDIODG.EXE[1316] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\svchost.exe[1352] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\conime.exe[1360] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\svchost.exe[1404] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\AVAST Software\Avast\AvastSvc.exe[1860] kernel32.dll!SetUnhandledExceptionFilter 75E9A9BD 8 Bytes [31, C0, C2, 04, 00, 90, 90, ...] {XOR EAX, EAX; RET 0x4; NOP ; NOP ; NOP }
.text C:\Program Files\AVAST Software\Avast\AvastSvc.exe[1860] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\Dwm.exe[1904] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\Explorer.EXE[1940] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\WLANExt.exe[1948] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[2220] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] ntdll.dll!LdrLoadDll 777D9378 5 Bytes JMP 000601F8
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] ntdll.dll!LdrUnloadDll 777EB680 5 Bytes JMP 000603FC
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] ntdll.dll!NtMapViewOfSection + 6 778149BA 4 Bytes [18, 00, 20, 6C]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] ntdll.dll!NtMapViewOfSection + B 778149BF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[3500] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\HP\HP Photosmart 5510d series\Bin\ScanToPCActivationApp.exe[3508] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\ehome\ehtray.exe[3524] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\HP\QuickPlay\QPService.exe[3604] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!LdrLoadDll 777D9378 5 Bytes JMP 004D01F8
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!LdrUnloadDll 777EB680 5 Bytes JMP 004D03FC
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtCreateFile + 6 7781426A 4 Bytes [28, 20, 28, 00] {SUB [EAX], AH; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtCreateFile + B 7781426F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtMapViewOfSection + 6 778149BA 4 Bytes [28, 23, 28, 00] {SUB [EBX], AH; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtMapViewOfSection + B 778149BF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenFile + 6 77814A4A 4 Bytes [68, 20, 28, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenFile + B 77814A4F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcess + 6 77814ACA 4 Bytes [A8, 21, 28, 00] {TEST AL, 0x21; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcess + B 77814ACF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcessToken + 6 77814ADA 4 Bytes CALL 76817300 C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcessToken + B 77814ADF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcessTokenEx + 6 77814AEA 4 Bytes [A8, 22, 28, 00] {TEST AL, 0x22; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcessTokenEx + B 77814AEF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThread + 6 77814B3A 4 Bytes [68, 21, 28, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThread + B 77814B3F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThreadToken + 6 77814B4A 4 Bytes [68, 22, 28, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThreadToken + B 77814B4F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThreadTokenEx + 6 77814B5A 4 Bytes CALL 76817381 C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThreadTokenEx + B 77814B5F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtQueryAttributesFile + 6 77814BEA 4 Bytes [A8, 20, 28, 00] {TEST AL, 0x20; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtQueryAttributesFile + B 77814BEF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtQueryFullAttributesFile + 6 77814C9A 4 Bytes CALL 768174BF C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtQueryFullAttributesFile + B 77814C9F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtSetInformationFile + 6 7781517A 4 Bytes [28, 21, 28, 00] {SUB [ECX], AH; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtSetInformationFile + B 7781517F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtSetInformationThread + 6 778151CA 4 Bytes [28, 22, 28, 00] {SUB [EDX], AH; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtSetInformationThread + B 778151CF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtUnmapViewOfSection + 6 7781546A 4 Bytes [68, 23, 28, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtUnmapViewOfSection + B 7781546F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\rundll32.exe[4364] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe[4592] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\iPod\bin\iPodService.exe[4708] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\wbem\wmiprvse.exe[4740] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!LdrLoadDll 777D9378 5 Bytes JMP 00F101F8
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!LdrUnloadDll 777EB680 5 Bytes JMP 00F103FC
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtCreateFile + 6 7781426A 4 Bytes [28, F0, EB, 00] {SUB AL, DH; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtCreateFile + B 7781426F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtMapViewOfSection + 6 778149BA 4 Bytes [28, F3, EB, 00] {SUB BL, DH; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtMapViewOfSection + B 778149BF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenFile + 6 77814A4A 4 Bytes [68, F0, EB, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenFile + B 77814A4F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcess + 6 77814ACA 4 Bytes [A8, F1, EB, 00] {TEST AL, 0xf1; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcess + B 77814ACF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcessToken + 6 77814ADA 4 Bytes CALL 768236D0 C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcessToken + B 77814ADF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcessTokenEx + 6 77814AEA 4 Bytes [A8, F2, EB, 00] {TEST AL, 0xf2; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcessTokenEx + B 77814AEF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThread + 6 77814B3A 4 Bytes [68, F1, EB, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThread + B 77814B3F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThreadToken + 6 77814B4A 4 Bytes [68, F2, EB, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThreadToken + B 77814B4F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThreadTokenEx + 6 77814B5A 4 Bytes CALL 76823751 C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThreadTokenEx + B 77814B5F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtQueryAttributesFile + 6 77814BEA 4 Bytes [A8, F0, EB, 00] {TEST AL, 0xf0; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtQueryAttributesFile + B 77814BEF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtQueryFullAttributesFile + 6 77814C9A 4 Bytes CALL 7682388F C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtQueryFullAttributesFile + B 77814C9F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtSetInformationFile + 6 7781517A 4 Bytes [28, F1, EB, 00] {SUB CL, DH; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtSetInformationFile + B 7781517F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtSetInformationThread + 6 778151CA 4 Bytes [28, F2, EB, 00] {SUB DL, DH; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtSetInformationThread + B 778151CF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtUnmapViewOfSection + 6 7781546A 4 Bytes [68, F3, EB, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtUnmapViewOfSection + B 7781546F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\HP\HP Photosmart 5510d series\Bin\HPNetworkCommunicator.exe[5692] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]

---- Devices - GMER 2.1 ----

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.sys
AttachedDevice \Driver\tdx \Device\Udp aswTdi.sys
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys

---- Disk sectors - GMER 2.1 ----

Disk \Device\Harddisk0\DR0 unknown MBR code

---- EOF - GMER 2.1 ----

merci

Eric

PC à nettoyer#124436

par g3n-h@ckm@n - lun. 5 mai 2014 12:02

- lun. 5 mai 2014 12:02 #124436

re

si tu demarres le pc sur le menu mode sans echec mais que tu fais F8 ensuite , le menu s'étend-t-il à d'autres options supplementaires ?

Re: PC à nettoyer#124602

par Eric92100 - lun. 5 mai 2014 23:50

- lun. 5 mai 2014 23:50 #124602

bonsoir,

désolé mais je ne suis pas sûr d'avoir compris ta demande.
pour faire apparaître le menu "mode sans echec", j'ai fait F8 pendant le redémarrage. j'ai eu un menu assez long. j'ai choisi Mode sans échec puis j'ai refait F8 mais cela n'a rien fait, le PC a démarré en mode sans échec. il n'y a pas eu d'autre menu.

est-ce que j'ai mal compris ce qu'il fallait faire ?

merci

Eric

PC à nettoyer#124648

par g3n-h@ckm@n - mar. 6 mai 2014 12:18

- mar. 6 mai 2014 12:18 #124648

re

non mais avant je dois te poser une question :

ton pc a été acheté en grande surface .?

Re: PC à nettoyer#124706

par Eric92100 - mar. 6 mai 2014 17:51

- mar. 6 mai 2014 17:51 #124706

je l'ai acheté chez Pixmania

Eric

PC à nettoyer#124818

par g3n-h@ckm@n - mer. 7 mai 2014 12:39

- mer. 7 mai 2014 12:39 #124818

ok dans le menu mode sans echec ne selectionne pas mode sans echec mais fais F8 à la place le menu s'étend-til ?

Re: PC à nettoyer#124907

par Eric92100 - mer. 7 mai 2014 22:11

- mer. 7 mai 2014 22:11 #124907

bonsoir,

quand je fais F8 au démarrage, j'ai un menu assez long (12 choix). j'ai fait une copie d'écran. elle est ici :
http://upload.sosvirus.net/www/?a=di=ajhFpgtOvF
quand ensuite je refais F8, il ne se passe rien.

merci

Eric

PC à nettoyer#124956

par g3n-h@ckm@n - jeu. 8 mai 2014 10:47

- jeu. 8 mai 2014 10:47 #124956

ok

je t'explique :

ton secteur d'amorcage du disque dur (MBR) n'est pas reconnu , mais , il n'est pas reconnu infectieux ou infecté non plus.

c'est pas méchant , cependant si ton pc a une partition de restauration d'usine , ca sera perdu si on tente de le réparer. donc si c'est le cas on laisse comme ca.

cette information de partition me manque pour être certain de faire les choses bien

télécharge cet outil : http://www.telecharger.sosvirus.net/download/hddfix/

lance HDDFix et clique sur Listing.

ca ira très vite , et un fichier $HDDList apparaitra sur ton bureau
héberge ce rapport et donne le lien
même s'il te parait assez court , héberge-le quand même , sur les forums tout est décalé et c'est moins comprehensible.
merci.

Re: PC à nettoyer#125235

par Eric92100 - ven. 9 mai 2014 16:44

- ven. 9 mai 2014 16:44 #125235

bonsoir,

merci.
voici le fichier :
http://upload.sosvirus.net/www/?a=di=RlWUOJtDJC

par ailleurs, j'ai une alerte windows dans la zone de notification (bouclier en rouge) : "gestion des comptes d'utilisateurs désactivée" mais quand je double clique dessus il ne se passe rien. je ne peux pas non plus ouvrir le centre de sécurité depuis le panneau de config.

merci

Eric

PC à nettoyer#125554

par g3n-h@ckm@n - dim. 11 mai 2014 13:32

- dim. 11 mai 2014 13:32 #125554

re

ok j'ai peur que tu aies une partition recovery, on va pas tenter le diable au risque de la péter

pour ton centre de securité on va tenter ceci :

Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )
Télécharge Pre_Scan sur ton bureau !
Si le lien n'est pas fonctionnel :
#ICI (renommé winlogon)

[*]Si l'outil est bloqué par l'infection essaye avec d'autres extensions :

[*]#SCR
[*]#PIF
[*]#COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

[*]Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

Re: PC à nettoyer#126346

par Eric92100 - mer. 14 mai 2014 20:14

- mer. 14 mai 2014 20:14 #126346

bonsoir,

le fichier est ici : http://cjoint.com/?3EountIUnVl

merci

Eric

PC à nettoyer#131110

par Dori@n - jeu. 5 juin 2014 15:10

- jeu. 5 juin 2014 15:10 #131110

up

[