Forum d'Entraide Informatique (FEI)

Bonjour,
Suite à la désinfection de mon micro (encore merci pour votre dévouement) et  à l'installation de Ccleaner,  je viens d'examiner la liste des programmes installés sur mon micro.
Je trouve PC Doctor que je n'utilise pas et que je pense supprimer.

Par contre en comparant la liste fournie par le panneau de configuration de Windows  (je suis sous Windows 7 64) et la liste donnée par Ccleaner (outils, désinstallation de programmes), je vois apparaître sous Ccleaner un programme : Suprasavings installé le 6 juin 2014.

Ce nom ne me dis rien et je ne l'aurais pas installé volontairement.

A quoi correspond-il? Pouvez-vous m'en dire plus sur ce programme?

La procédure de désinfection s'est terminée le 10 juin . Sans souci depuis.

Merci de vos commentaires et bonne journée.

 jour,

Trouvé ça :

http://www.google.be/url?sa=trct=jq=sup ... 1936,d.ZGU

Mais je crois qu'il vaut mieux que tu demande l'avis en désinfection pour ne pas faire de boulette   . Mieux vaut à nouveau ouvrir un sujet.

Mi.

Désolée, mal vu, je croyais que tu étais autre part qu'en désinfect. Mille excuses pour le dérangements
 

Merci déjà pour cette info.

Nergens, merci pour la blague ... belge! Quelle soit flamande ou wallone, peu m'importe.
J'ai surtout apprécié ta réponse rapide.
Merci et bonne journée.
Je t'envoie au passage un peu de soleil aquitain (bassin d'Arcachon).
Bye.

salut

[*]Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.

[*]Télécharge Shortcut_Module sur ton bureau.

Note : Enregistrer votre travail avant de continuer !


[*]Lance Shortcut_Module, [*]Clic sur Nettoyer



Note : Patiente le temps du scan


[*]Laisse travailler l'outil même s'il te parait bloqué
[*]Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"

[*]Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

J'ai eu du mal à télécharger shortcut. Il m'a fallu retrouver le lien direct. C'est fait.


Voici le rapport de shorcut :

http://upload.sosvirus.net/www/?a=di=bcrWLF7dpw

J'attends vos instructions.
Merci.
Bonne fin de journée en attendant.

tu devrais desinstaller tuneUP utilities c'est un fracasse-système ces trucs-là

==

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

::C:\ProgramData\31c7620fa05cdf1b

relance shortcut_module puis clique sur le petit "S" en bas.
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

Bonsoir,
J'ai effectué les opérations suivantes:
Nettoyage shortcut comme demandé. Voici le rapport:

http://upload.sosvirus.net/www/?a=di=lALwfTKq32

Ensuite, j'ai supprimé PCDoctor et ITunes que j'utilises très peu et j'ai relancé shortcut comme demandé. Voici le second rapport:

http://upload.sosvirus.net/www/?a=di=srbn9M7cTk

En examinant mon micro avec CCleaner, je m'aperçois que Suprasavings est toujours présent avec une date d'aujourd'hui.

J'attends de vos nouvelles.
merci d'avance.

re

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

Bonsoir,
Avant la manipulation demandée, voici quelques éléments constatés ce matin à la mise en route du PC.
Au démarrage détournement d'IE vers Google au lieu de 20 minutes.fr.
Par ailleurs j'ai constaté que le parefeu n'était pas activé ?? (pour moi tout était enordre hier soir!).
De plus le fameux logiciel Suprasavings est toujours présent dans la liste de Ccleaner.
Je trouve également Boxore client avec la date du 30/08/2009 (cette date est la plus ancienne date des applications installées sur le PC?).

Voici le compte rendu de MBAM :

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 13/06/2014
Heure de l'examen: 20:37:35
Fichier journal:
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.13.07
Base de données Rootkits: v2014.06.02.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: rm

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 297698
Temps écoulé: 10 min, 21 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 2
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, Mis en quarantaine, [26d5b0c71c5fe05693a1195c0002b14f],
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, Mis en quarantaine, [26d5b0c71c5fe05693a1195c0002b14f],

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 0
(No malicious items detected)

Secteurs physiques: 0
(No malicious items detected)


(end)

J'attends les nouvelles instructions.
Merci d'avance et bonne soirée.
Robert

hello

je vais te faire un script pour virer tout ca

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

Bonjour,

Un élément qui me parait suspect ce matin.

A la mise en route du micro, une fenêtre s'ouvre : Système F: comme si j'avais un périphérique de branché sur ce port. Alors qu'il n'en est rien. Aucune clé n'était insérée. C'est la première fois que je vois un tel message apparaître sur mon micro!

Ce processus s'est amplifié lors de l'insertion d'une clé USB dans ce port F après le scan d'OTL;
Plusieurs fenêtres (7 ou 8 fois) Sytème K sont apparues. Lors de la fermeture par action sur la croix elles est réapparue .

Voici les fichiers extras et otl.


http://upload.sosvirus.net/www/?a=di=pJ71T4hLFd


http://upload.sosvirus.net/www/?a=di=WiRrhsLDHH


Bonne journée,
Robert

re

évite d'installer des programmes pendant la desinfection stp

refais un nettoyage avec shortcut_module t'as réinstallé des mer$es

Re,
Je n'ai rien installé volontairement depuis le début de la désinfection!
J'ai relancé shortcut_module.(sans actionné le s).
Il me demande de le mettre à jour. j'ai validé l'option.
Ensuite il affiche une fenêtre : Autolt error avec à l'intérieur le texte suivant :
Line 21 (File c:\shortcut_module\protect_module.exe")
error: Variable used without being déclared

J'ai fermé cette fenêtre et voici le rapport:

http://upload.sosvirus.net/www/?a=di=9XpiCQR8xu

A noter qu'à l'ouverture d'IE, c'est Google sui s'invite comme page d'accueil .

Merci d'avance.

Bonsoir,
Voici le rapport d'USBFix:

############################## | UsbFix V 7.171 | [Nettoyage]

Utilisateur: rm (Administrateur) # RM-PC
Mis à jour le 09/06/2014 par El Desaparecido - SosVirus
Lancé à 17:45:26 | 15/06/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Assistance : http://www.sosvirus.net/forum-virus-securite.html
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

PC: PEGATRON CORPORATION (EVANS)
CPU: Pentium(R) Dual-Core CPU E5300 @ 2.60GHz
RAM - [Total : 4095 Mo| Free : 2215 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) Service Pack 1
WB: Windows Internet Explorer : 11.0.9600.17126

SC: Security Center [Enabled]
WU: Windows Update [Enabled]
AV: Microsoft Security Essentials [Enabled | Updated]
AS: Windows Defender [(!) Disabled | Updated]
AS: Microsoft Security Essentials [Enabled | Updated]
FW: Windows FireWall [(!) Disabled]

C:\ (%SystemDrive%) - Disque fixe # 452 Go (377 Go libre(s) - 83%) [HP] # NTFS
D:\ - Disque fixe # 14 Go (14 Go libre(s) - 99%) [FACTORY_IMAGE] # NTFS
E:\ - CD-ROM
F:\ - Disque amovible # 2 Go (472 Mo libre(s) - 24%) [z-PEN] # FAT
K:\ - Disque amovible # 4 Go (3 Go libre(s) - 90%) [] # FAT32

################## | Processus Stoppés |

C:\Windows\System32\nvvsvc.exe (ID: 764|ParentID: 508)
C:\Program Files\Tablet\Pen\Pen_TouchService.exe (ID: 1096|ParentID: 508|Système)
C:\Windows\System32\nvvsvc.exe (ID: 1184|ParentID: 764|Système)
C:\Windows\System32\wisptis.exe (ID: 1216|ParentID: 1020|Système)
C:\Windows\System32\spoolsv.exe (ID: 1460|ParentID: 508|Système)
C:\Program Files (x86)\Adobe\Elements Organizer 8.0\PhotoshopElementsFileAgent.exe (ID: 1588|ParentID: 508|Système)
C:\Windows\System32\taskhost.exe (ID: 1636|ParentID: 508|rm)
C:\Windows\System32\wisptis.exe (ID: 1660|ParentID: 1020|rm)
C:\Program Files\Common Files\Microsoft Shared\ink\TabTip.exe (ID: 1668|ParentID: 1020|rm)
C:\Program Files\Tablet\Pen\Pen_TouchUser.exe (ID: 1736|ParentID: 1096|rm)
C:\Windows\explorer.exe (ID: 1916|ParentID: 1812|rm)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (ID: 1120|ParentID: 508|Système)
C:\Windows\System32\taskeng.exe (ID: 644|ParentID: 372|rm)
C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (ID: 1836|ParentID: 508|Système)
C:\Program Files\Bonjour\mDNSResponder.exe (ID: 2168|ParentID: 508|Système)
C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe (ID: 2256|ParentID: 508|Système)
C:\Windows\SysWOW64\PSIService.exe (ID: 2364|ParentID: 508|Système)
C:\Program Files\Tablet\Pen\Pen_Tablet.exe (ID: 2452|ParentID: 508|Système)
C:\Program Files (x86)\TomTom HOME 2\TomTomHOMEService.exe (ID: 2476|ParentID: 508|Système)
C:\Program Files\Tablet\Pen\Pen_TabletUser.exe (ID: 2680|ParentID: 2452|rm)
C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe (ID: 2836|ParentID: 1916|rm)
C:\Program Files\Microsoft Security Client\msseces.exe (ID: 2848|ParentID: 1916|rm)
C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (ID: 2924|ParentID: 1916|rm)
C:\Program Files\Tablet\Pen\Pen_Tablet.exe (ID: 2932|ParentID: 2452|Système)
C:\Program Files (x86)\Samsung\Kies\Kies.exe (ID: 2968|ParentID: 1916|rm)
C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe (ID: 2984|ParentID: 1916|rm)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (ID: 3028|ParentID: 3008|rm)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (ID: 3044|ParentID: 3028|rm)
C:\Program Files (x86)\Hewlett-Packard\HP Odometer\hpsysdrv.exe (ID: 2320|ParentID: 3000|rm)
C:\Program Files (x86)\hp\HP Software Update\hpwuschd2.exe (ID: 2336|ParentID: 3000|rm)
C:\Program Files (x86)\Bamboo Dock\BambooCore.exe (ID: 2776|ParentID: 3000|rm)
C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe (ID: 2532|ParentID: 3000|rm)
C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe (ID: 2544|ParentID: 3000|rm)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (ID: 2304|ParentID: 3000|rm)
C:\Windows\System32\SearchIndexer.exe (ID: 3420|ParentID: 508|Système)
C:\Windows\System32\WUDFHost.exe (ID: 3500|ParentID: 1020|SERVICE LOCAL)
C:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe (ID: 3604|ParentID: 644|rm)
C:\Program Files (x86)\Hewlett-Packard\TouchSmart\Media\Kernel\CLML\CLMLSvc.exe (ID: 3612|ParentID: 644|rm)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 4160|ParentID: 508|SERVICE RÉSEAU)
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe (ID: 4664|ParentID: 1916|rm)
C:\Program Files\Internet Explorer\iexplore.exe (ID: 4944|ParentID: 4664|rm)
C:\Program Files (x86)\Internet Explorer\iexplore.exe (ID: 4992|ParentID: 4944|rm)
C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSA_Service.exe (ID: 4636|ParentID: 508|Système)
C:\Windows\System32\sppsvc.exe (ID: 4200|ParentID: 508|SERVICE RÉSEAU)
C:\Program Files\Common Files\Microsoft Shared\ink\InputPersonalization.exe (ID: 4880|ParentID: 508|rm)
C:\Windows\System32\wuauclt.exe (ID: 3464|ParentID: 372|rm)
C:\Windows\System32\taskhost.exe (ID: 3060|ParentID: 508|SERVICE LOCAL)
C:\Windows\System32\SearchProtocolHost.exe (ID: 3004|ParentID: 3420|Système)

################## | Autorun |


################## | Recherche générique |


(!) Fichiers temporaires supprimés.

################## | Registre |


################## | Regedit Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] userinit.exe,
F2 - [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [BambooScribe.exe] "C:\Program Files (x86)\Vision Objects\Bamboo Scribe\BambooScribe.exe" /i
04 - HKCU\..\Run : [KiesPDLR] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
04 - HKCU\..\Run : [KiesPreload] C:\Program Files (x86)\Samsung\Kies\Kies.exe /preload
04 - HKCU\..\Run : [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe"
04 - HKCU\..\Run : [CCleaner] "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO
04 - HKLM\..\Run : [hpsysdrv] c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe
04 - HKLM\..\Run : [HP Software Update] c:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
04 - HKLM\..\Run : [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe
04 - HKLM\..\Run : [UpdatePRCShortCut] "C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Hewlett-Packard\Recovery" UpdateWithCreateOnce "Software\CyberLink\PowerRecover"
04 - HKLM\..\Run : [BambooCore] C:\Program Files (x86)\Bamboo Dock\BambooCore.exe
04 - HKLM\..\Run : [BambooScribeAutoStart.vbe] "C:\Program Files (x86)\Vision Objects\Bamboo Scribe\BambooScribeAutoStart.vbe"
04 - HKLM\..\Run : [Samsung PanelMgr] C:\Windows\Samsung\PanelMgr\SSMMgr.exe /autorun
04 - HKLM\..\Run : [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\Run : [Magic Desktop for HP notification] "C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe"
04 - HKLM\..\Run : [KiesTrayAgent] C:\Program Files (x86)\Samsung\Kies\KiesTrayAgent.exe
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
04 - [x64] HKLM\..\Run : [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
04 - [x64] HKLM\..\Run : [SmartMenu] C:\Program Files\Hewlett-Packard\HP MediaSmart\SmartMenu.exe /background
04 - [x64] HKLM\..\Run : [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
04 - [x64] HKLM\..\RunOnce : [NCPluginUpdater] "C:\Program Files (x86)\Hewlett-Packard\HP Health Check\ActiveCheck\product_line\NCPluginUpdater.exe" Update
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-3665027634-1497555908-1381305757-1000\..\Run : [BambooScribe.exe] "C:\Program Files (x86)\Vision Objects\Bamboo Scribe\BambooScribe.exe" /i
04 - HKU\S-1-5-21-3665027634-1497555908-1381305757-1000\..\Run : [KiesPDLR] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
04 - HKU\S-1-5-21-3665027634-1497555908-1381305757-1000\..\Run : [KiesPreload] C:\Program Files (x86)\Samsung\Kies\Kies.exe /preload
04 - HKU\S-1-5-21-3665027634-1497555908-1381305757-1000\..\Run : [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe"
04 - HKU\S-1-5-21-3665027634-1497555908-1381305757-1000\..\Run : [CCleaner] "C:\Program Files\CCleaner\CCleaner64.exe" /AUTO
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

################## | C:\ %SystemDrive% - Disque Fixe (NTFS) |

[07/11/2007 - 08:00:40 | N | 17 Ko] - C:\eula.1031.txt
[07/11/2007 - 08:00:40 | N | 17 Ko] - C:\eula.2052.txt
[07/11/2007 - 08:00:40 | N | 17 Ko] - C:\eula.1042.txt
[07/11/2007 - 08:00:40 | N | 0 Ko] - C:\eula.1041.txt
[07/11/2007 - 08:00:40 | N | 17 Ko] - C:\eula.1040.txt
[07/11/2007 - 08:00:40 | N | 17 Ko] - C:\eula.1036.txt
[07/11/2007 - 08:00:40 | N | 17 Ko] - C:\eula.1028.txt
[07/11/2007 - 08:00:40 | N | 17 Ko] - C:\eula.3082.txt
[07/11/2007 - 08:00:40 | N | 10 Ko] - C:\eula.1033.txt
[13/09/2010 - 09:04:02 | N | 1 Ko] - C:\FINIS_IT.TXT
[09/06/2014 - 16:53:00 | N | 4 Ko] - C:\DelFix.txt
[12/06/2014 - 16:15:18 | N | 99 Ko] - C:\Shortcut_Module_12_06_2014_16_15_18.txt
[12/06/2014 - 19:47:24 | N | 38 Ko] - C:\Shortcut_Module_12_06_2014_19_47_24.txt
[12/06/2014 - 21:23:14 | N | 35 Ko] - C:\Shortcut_Module_12_06_2014_21_23_14.txt
[15/06/2014 - 13:30:36 | N | 126 Ko] - C:\Shortcut_Module_15_06_2014_13_30_36.txt
[15/06/2014 - 17:38:25 | ASH | 3145144 Ko] - C:\hiberfil.sys
[15/06/2014 - 17:38:25 | ASH | 4193528 Ko] - C:\pagefile.sys
[11/01/2011 - 17:55:37 | D] - C:\SYSTEM.SAV
[07/11/2007 - 08:53:12 | N | 237 Ko] - C:\VC_RED.MSI
[12/06/2014 - 21:23:46 | D] - C:\Config.Msi
[07/11/2007 - 08:00:40 | N | 1 Ko] - C:\globdata.ini
[07/11/2007 - 08:00:40 | N | 1 Ko] - C:\install.ini
[29/11/2011 - 10:57:02 | N | 20 Ko] - C:\ffastun0.ffx
[29/11/2011 - 10:57:02 | N | 16 Ko] - C:\ffastun.ffo
[29/11/2011 - 10:57:02 | N | 24 Ko] - C:\ffastun.ffl
[29/11/2011 - 10:57:02 | N | 4 Ko] - C:\ffastun.ffa
[07/11/2007 - 08:44:20 | N | 835 Ko | VirusTotal - (0/53)] - C:\install.exe
[01/12/2006 - 23:37:14 | N | 884 Ko | VirusTotal - (0/54)] - C:\msdia80.dll
[07/11/2007 - 08:44:20 | N | 94 Ko | VirusTotal - (0/52)] - C:\install.res.1036.dll
[07/11/2007 - 08:44:20 | N | 92 Ko | VirusTotal - (0/52)] - C:\install.res.1040.dll
[07/11/2007 - 08:44:20 | N | 79 Ko | VirusTotal - (0/53)] - C:\install.res.1041.dll
[07/11/2007 - 08:44:20 | N | 77 Ko | VirusTotal - (0/52)] - C:\install.res.1042.dll
[07/11/2007 - 08:44:20 | N | 73 Ko | VirusTotal - (0/48)] - C:\install.res.2052.dll
[07/11/2007 - 08:44:20 | N | 93 Ko | VirusTotal - (0/52)] - C:\install.res.3082.dll
[07/11/2007 - 08:44:20 | N | 93 Ko | VirusTotal - (0/47)] - C:\install.res.1031.dll
[07/11/2007 - 08:44:20 | N | 74 Ko | VirusTotal - (0/51)] - C:\install.res.1028.dll
[07/11/2007 - 08:44:20 | N | 88 Ko | VirusTotal - (0/49)] - C:\install.res.1033.dll
[01/12/2011 - 11:40:03 | SHD] - C:\$Recycle.Bin
[14/07/2009 - 05:20:08 | D] - C:\PerfLogs
[14/07/2009 - 07:08:56 | SHD] - C:\Documents and Settings
[05/10/2010 - 18:39:36 | D] - C:\EPSON
[25/12/2011 - 11:21:21 | RHD] - C:\MSOCache
[04/02/2012 - 12:45:13 | D] - C:\Sans nom
[22/11/2012 - 18:40:22 | D] - C:\swsetup
[23/08/2013 - 15:26:48 | D] - C:\hp
[23/08/2013 - 15:26:57 | D] - C:\Errors
[13/11/2013 - 19:49:30 | D] - C:\Maps
[12/01/2014 - 20:53:07 | D] - C:\Winamax
[26/03/2014 - 12:17:25 | D] - C:\Poker
[10/04/2014 - 22:52:45 | D] - C:\___RM__photos
[06/05/2014 - 18:57:56 | D] - C:\Users
[11/05/2014 - 11:29:37 | D] - C:\_RM_courrier
[21/05/2014 - 11:31:29 | D] - C:\_______Mes_Toiles
[27/05/2014 - 12:13:26 | D] - C:\_RM_Humour
[07/06/2014 - 10:13:54 | D] - C:\Temp
[11/06/2014 - 11:10:15 | D] - C:\_RM_téléchargements
[11/06/2014 - 11:21:11 | D] - C:\_____GM
[11/06/2014 - 19:06:11 | D] - C:\_RM_z_autres
[11/06/2014 - 19:06:30 | D] - C:\_______Maïté
[11/06/2014 - 19:09:05 | D] - C:\______peinture
[11/06/2014 - 22:23:23 | D] - C:\______Aa_Word
[12/06/2014 - 09:39:32 | D] - C:\_______Poker
[12/06/2014 - 15:11:28 | D] - C:\_Informatique
[12/06/2014 - 20:33:16 | D] - C:\Program Files (x86)
[12/06/2014 - 20:34:43 | D] - C:\Program Files
[12/06/2014 - 20:34:43 | HD] - C:\ProgramData
[15/06/2014 - 08:52:55 | SHD] - C:\System Volume Information
[15/06/2014 - 13:30:30 | D] - C:\Shortcut_Module
[15/06/2014 - 13:55:56 | D] - C:\______Aa_excel
[15/06/2014 - 17:39:32 | D] - C:\Windows
[15/06/2014 - 17:45:05 | D] - C:\UsbFix

################## | D:\ - Disque Fixe (NTFS) |

[09/01/2014 - 19:21:04 | SHD] - D:\$RECYCLE.BIN
[09/06/2014 - 14:59:37 | SHD] - D:\System Volume Information

################## | F:\ - Disque USB (FAT) |

[22/02/2009 - 11:10:22 | N | 2 Ko] - F:\BOOTEX.LOG
[30/11/2009 - 14:19:10 | N | 0 Ko] - F:\.picasa.ini
[30/09/2009 - 10:18:26 | N | 2 Ko] - F:\baserm1.gpx
[19/01/2009 - 10:36:08 | D] - F:\jeux
[20/01/2009 - 15:58:32 | D] - F:\base_logiciels
[10/11/2009 - 18:30:02 | D] - F:\__immo
[10/11/2009 - 18:32:46 | D] - F:\1_VTT
[10/11/2009 - 18:33:42 | D] - F:\4_stats
[10/11/2009 - 18:33:52 | D] - F:\8_Autres
[10/11/2009 - 18:37:14 | D] - F:\z_Autres
[05/08/2012 - 22:51:54 | D] - F:\chateaux de la loire 2012
[19/11/2013 - 17:40:18 | D] - F:\_PHOTOS MAITE 19 11 2013
[18/01/2014 - 14:34:26 | D] - F:\___photos

################## | K:\ - Disque USB (FAT32) |

[01/03/2013 - 13:14:52 | D] - K:\___Photos maite
[02/09/2013 - 09:18:48 | D] - K:\divers dom
[17/11/2013 - 15:09:58 | D] - K:\_____informatique

################## | Vaccin |

D:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)
K:\Autorun.inf - Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.sosvirus.net/ | http://www.usbfix.net/ |

Merci pour la suite.

ok quels soucis persistent ?

Je viens de repasser Malwarebytes anti malware.
Aucun objet détecté.
Sinon, j'ai remis ma page d'accueil sur IE . Au redémarrage, cela semble bon.
En examinant les logiciels sous CCleaner je trouve toujours Suprasavings dans la liste à la date du 12/06/2014.
Sinon RAS.
Je propose d'attendre demain pour voir si il y a une évolution.
Bonne fin de soirée
Merci encore,
Robert

tu peux supprimer l'entrée avec ccleaner ca doit être une vieille clé orpheline , je comprends pas pourquoi les logiciels ne l'ont pas detectée mais bon.....

Bonjour,
Comme convenu, j'ai tenté de désinstaller suprasavings avec CCleaner. Sans succès.
Le système m'informe d'une difficulté à trouver certains éléments (d'après mon interprétation);
Les deux photos des fenêtres apparaissant lors de cette manipulation sont reprise dans les liens ci dessous:


http://upload.sosvirus.net/www/?a=di=8HqSBDA3tj

http://upload.sosvirus.net/www/?a=di=gGe4JCbly1

J'ai donc repassé Shortcut_module. Voici le rapport :

http://upload.sosvirus.net/www/?a=di=8hArdfeP7G

Ce matin à l'ouverture dIE, le système voulait détourner la page d'accueil vers Google mais le système bloquait l'accès à cette page (pas d'affichage après plusieurssecondes ).
J'ai remis ma page d'accueil en place via le panneau de configuration.

J'ai procédé ensuite à une analyse par Malwarebytes antimalware: aucune anomalie détectée.

Le parefeu windows était désactivé (je ne sais si c'est après shortcut ou après MBAM); néanmoins je l'ai réactivé.

J'ai relancé également OTL avec le script de personnalisation envoyé plus tôt dans l'échange.
Voici les rapports:

http://upload.sosvirus.net/www/?a=di=smjtED7jBA

http://upload.sosvirus.net/www/?a=di=MCHc1BrwbT

Voilà où j'en suis.

En dehors du détournement D'IE ce matin, pas d'autre anomalie constatée.
Je pense que l'on peut en rester là. Merci de me le dire.

Simple petite question subsidiaire: je suis obligé de retaper systématiquement mes identifiants et mes mots de passe des sites visités. Quel est le responsable Ccleaner ou MBAM;
comment y remédier?

Encore merci et désolé pour un message aussi long mais j'espère avoir fait le point à l'instant présent.
Enfin, je n'ai rien installé de nouveau depuis hier.

hello

je n'ai pas dit desinstaller avec ccleaner j'ai dit "supprimer l'entrée"

et pour tes mots de passe c'est plus sécure faut pas les garder enregistrés dans les navigateurs c'est dangereux

Bonjour,
Merci pour ces précisions.
J'ai tenté en vain de faire la manipulation "effacer l'entrée" (le menu ne présente pas "supprimer l'entrée").

S'ouvre une fenêtre avec le message suivant: Impossible d'effacer l'entrée (fichier MSI).

Info supplémentaire . Il est toujours affiché avec la date du 12/06/2014. Ce qui pour moi veut dire qu'il n'a pas évolué comme la fois précédente où la date changeait.
Sinon, RAS , tout parait en ordre sur le micro.

Pour mes mots de passe je conservais sur le micro uniquement des mots de passe de sites d'associations.



Bonne journée.
Robert

t'as pas ca ?

http://cjoint.com/14jn/DFrkYbMeOsm.htm

re,
C'est exactement cela.
Mais quand je valide effacer l'entrée, une fenêtre avec le message suivant: Impossible d'effacer l'entrée (fichier MSI).

Voici la photo sous upload:

http://upload.sosvirus.net/www/?a=di=PThVhuDsmo

De plus en ouvrant le micro pour cette session, j'ai à nouveau l'apparition d'une fenêtre System : F comme si j'avais une clé USB de connectée alors qu'il n'en est rien.

Bonne fin de journée.
Robert

re

fais voir cette fenetre ?

Bonjour,
J'ai repassé usbfix hier après ma réponse et depuis, je n'ai plus l'apparition de cette fenêtre qui s'ouvrait au démarrage du micro.
J'ai fermé et ouvert le micro deux fois sans réapparition (sans avoir de port USB occupé comme c'était le cas lors de la dernière apparition).
Je vais tester des fermetures et ouvertures du micro (avec et sans clé usb ) pendant 24 h et vous recontacte pour vous donner le résultat et éventuellement la photo de la fenêtre.
Merci d'avance.
Bonne fin de journée
Robert

ok ca marche

Bonjour,

Comme convenu, j'ai fait plusieurs fois la manipulation d'ouverture/fermeture du micro.

La fenêtre : "système F: "s'ouvre une fois sur 10 environ. Mais de manière fugitive. en une fraction de seconde.
Pas le temps de lire le message complet.
Je pense lire la phrase :
"Système F:
informations générales "
mais pas plus.
Et la fenêtre ne comporte pas le menu d'options traditionnels (importer des images, copier des photos, ouvrir le dossier ,...)
J'ai essayé sans succès de prendre une photo.
Peut-être une précision : la dernière fois que cette fenêtre est apparue, l'affichage des icônes dans la barre des tâches en bas à droite de l'écran s'est faite de manière particulière.

En général l'icône de Microsoft Sécurity essentiels (antivirus) s'ouvre avant Ccleaner . Et là l'icône antivirus apparaît en dernier, bien après l'icône d'accès internet et après ccleaner.
Sinon, RAS que j'insère des clés USB dans les ports F,K, J ou non.
Voilà où j'en suis ce soir.
Dernière info: Suprasavings est toujours présent dans la liste des applications visionnées sous Ccleaner, outils.

Bonne soirée
Robert

coucou

refais un OTL stp

Bonsoir,

Voici les deux rapports d'OTL


http://upload.sosvirus.net/www/?a=di=JVNjByD4O8


http://upload.sosvirus.net/www/?a=di=1nUXdDRARF

Bonne fin de soirée
Robert

Bonjour,

J'ai regardé les rapports .
Et deux éléments me questionnent:
1 : je vois souvent Google qui apparaît très souvent comme interface d'entrée IE et recherche.
Si cela est vrai pour une majorité des recherches, il n'en est rien pour l'accès à internet;
2 : dans un rapport est mentionné une aplli/logiciel Tunes utility qui aurait été chargé en date du 18/11/2003 à 9 h 42.

Je sais que vous avez mentionné cet élément en précisant qu'il n'était pas très utile. De quoi s'agit-il? Et le cas échéant, comment le supprimer car je ne sais le programme qui est derrière?

Merci d'avance pour ces précisions.
Bonne journée
Robert

hello tuneUp utilities supprime des entrées de registre qui sont légitimes d'où mon apellation Fracasse-système

c'est un programme à toi Xeester ?

Bonsoir,
Xeester est un tracker de poker, c'est à dire un logiciel qui te permet de connaître en temps réel certaines statistiques de tes adversaires. Il s'utilise simultanément à ton site de jeu (winamax, pokerstars,...).
Lors du lancement il cherche dans les historiques de tes sites de jeu qui sont archivés sur le micro les parties réalisées et analysent les statistiques de tes adversaires et dès qu'il est prêt, il te donne les stats que tu lui demandes.

Si nécessaire, je peux le désinstaller pour permettre un nettoyage en profondeur.

Autre point particulier que je rencontre maintenant.
J'utilise Thunberbird comme messagerie électronique.
Lorsque s'ouvre la page, j'ai systématiquement en bas de page le panneau d'affichage des messages.
Je le supprime par F8 mais je considère que cet affichage est gênant car les messages arrivés sont de facto ouverts et considérés comme lus. Avec les risques que cela comporte.

Sinon RAS depuis ce matin.
Bonne soirée
Robert

ok mets ca en bas d'OTL et clique sur corrrection et poste le nouveau rapport


:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4}]

:files
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*

:commands
[emptytemp]

Ok, voici le rapport en direct:

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4}\ not found.
========== FILES ==========
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M folder moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\16UZUB9F folder moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 folder moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\desktop.ini moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 folder moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat moved successfully.
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur

User: All Users

User: Default
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 32902 bytes
-Flash cache emptied: 57311 bytes

User: Default User
-Temp folder emptied: 0 bytes
-Temporary Internet Files folder emptied: 0 bytes
-Flash cache emptied: 0 bytes

User: HomeGroupUser$

User: Invité

User: Public

User: rm
-Temp folder emptied: 11838728 bytes
-Temporary Internet Files folder emptied: 11617970 bytes
-Java cache emptied: 24207174 bytes
-Flash cache emptied: 57983 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 12024 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 42339027 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 86,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 06202014_205127

Files\Folders moved on Reboot...
C:\Users\rm\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\rm\AppData\Local\Temp\JavaDeployReg.log moved successfully.
File\Folder C:\Users\rm\AppData\Local\Temp\règlement.rtf not found!
File\Folder C:\Users\rm\AppData\Local\Temp\unnamed.rtf not found!
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\4A72F430-B40C-4D36-A068-CE33ADA5ADF9.dat moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Y99I4N1L\ads[10].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Y99I4N1L\ads[8].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Y99I4N1L\ads[9].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Y99I4N1L\Hgo13k-tfSpn0qi1SFdUfT8E0i7KZn-EPnyo3HZu7kw[1].woff moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYT6MGK6\ads[5].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TYT6MGK6\si[1].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HNAML9KO\ads[4].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HNAML9KO\fastbutton[1].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HNAML9KO\grlryt2bdKIyfMSOhzd1eA[1].woff moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HNAML9KO\index[1].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HNAML9KO\like[1].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HNAML9KO\zrt_lookup[1].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0V6P4JFZ\ads[2].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0V6P4JFZ\postmessageRelay[1].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0V6P4JFZ\si[1].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0V6P4JFZ\si[3].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0V6P4JFZ\t15988-suprasavings[1].htm moved successfully.
C:\Users\rm\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

ben tu l'as fait deux fois ?

Non, une seule fois.

refais avec juste ca alors :

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4}]

Bonjour,
Je viens de faire OTL avec le script indiqué.
Voici le rapport:


========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4}\ not found.

OTL by OldTimer - Version 3.2.69.0 log created on 06212014_090059

A noter que s'ouvre une fenêtre "Pilote de la tablette"après l'exécution avec le message suivant: le pilote de la tablette ne s'exécute pas.


Bonne journée en attendant,
Robert