Forum d'Entraide Informatique (FEI)

Bonjour,
Je suis sur que je nesuis pas le premier etourdi a avoir installer par megarde un paquet de petits logiciels qui me pourrissent la vie, mais recemment ils m'ont meme bloque l'acces a internet, et du coup ca deviant complique (of course je ne suis pas sur mon pc en ce moment).
J'ai reussi a faire une analyse ZHPdiag et a nettoyer une partie de mes ennuis, mais il en reste pas mal pour lesquels si j'ai bien compris il faut creer un script pour ZHPfix, ce aue je ne sais pas faire. Quelqu'un pourrait-il m'aider ?
Merci d'avance !
Le ZHP DIAg :
http://www.cjoint.com/14ju/DGswr79beIi.htm

Bonjour,

Pour mieux recevoir les réponses, tu peux t'inscrire au forum (plus d'informations ici).

On va passer des outils spécialisés avant le script.

1/ Passe Shortcut_Module et poste le rapport hébergé : http://www.forum-entraide-informatique. ... e-tutoriel

2/ Passe AdwCleaner et poste le rapport : http://www.forum-entraide-informatique. ... r-tutoriel

Gabriel.

Merci bien !
J'ai lance une premiere fos shortcut et il a plante (avec l'ordi) vers 80% avec plus de 66 fichiers infectes, au redemarrage (oblige) de l'ordi, pas de rapport disponible. Je le lance une nouvelle fois en esperant ne pas avoir le meme problem, pour le moment a plus de 55% seulement 2 fichiers infectes, il est possible que de nombreux fichiers nettoyes n'apparaissent donc pas sur le rapport.

Re,

Tu as vérifié s'il n'y avait tout de même pas un rapport dans C: ?

Gabriel.

J'ai reliance immediatement mais je vais le faire, d'autant plus que je replante a 92% cette fois, mais avec un message d'erreur (et 40 "infectes") :
Line222777 (File "C:\Users\Sami\Desktop\Shortcut_Module.exe"):
Error: Variable used without beig declared.

Okay' donc le rapport :http://cjoint.com/?DGvxk4JzgmN
PS : j'ai Remarque de de nombreux cours ont ete places en quarantine (pptx, ...) ?

Une questoin me vient a l'esprit : est-ce que je me suis fqis floue en pregnant Ad-aware comme antivirus ? Mes problemes ont empire de maniere drastiaue après l'avoir installe en lieu et place d'antivira-antivir (après avoir regarder plusieurs sites de classements des antivirus gratuits 2014)

Adw : http://cjoint.com/?DGvxku5TyZS

Salut,

Désactive ton antivirus

Sélectionne et copie le texte suivant :

C:\Users\Sami\Documents\Claroline.M1_GP.Articles_TD_Baron
C:\Users\Sami\Documents\Claroline.M1_GP.M1-GP_Transgenèse
C:\Users\Sami\Documents\Claroline.M1_GP.TP5
Rouvre Shortcut_Module, clique sur : un fichier "module" va s'ouvrir avec les lignes copiées, si c'est le cas referme-le sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu.
l'outil va travailler instantanément et tu auras un nouveau rapport dans ton disque qui devrait contenir la liste des fichiers restaurés.
Et tu les vois où les fichiers .pptx ?

Ensuite, désinstalle cette version (en cliquant sur le U), et réinstalle la nouvelle en le retéléchargeant, ça devrait être OK pour le scan.

Ad-Aware, j'aime pas trop effectivement mais bon. Tu n'as pas payé pour cet antivirus ?

Gabriel.

Ah j'ai oublie de redesactiver ad-aware au redemarrage ! Bigre ! Et c'est une version gratuite heureusement.En fait j'ai pas regarde en details mes fichiers de cours, j'ai dit pptx parce que c'est le format qu'on utilise le plus ^^'

Quand je clique sur j'ai bien les 3 lignes qui s'affichent, mais quand je ferme la fenetre qui s'est ouverte j'ai un message d'erreur et shortcut se ferme, je peux desinstaller tout de meme ?

Re,

C'est pas les 3 documents qu'on essaye de restaurer justement ?
Et quel est le message d'erreur de Shortcut_Module ?

Gabriel.

Si c'est les ons documents donc ca c'est cool :
A gauche, la restoration marche, a droite, le message d'erreurs
http://cjoint.com/14ju/DGwqjxTbXUz.htm

Re,

Alors tu vas les récupérer manuellement.

Va dans C:\Shortcut_Module\Quarantaine.
Supprime l'extension .S_M des trois dossiers ci-dessus, puis déplace-les là où tu souhaites les retrouver.

Gabriel.

Super, merci, je fais ca j'installe la version fraichement telechargee (je l'ai date du 19 juillet 2014)

Bien.

Gabriel.

Je recupere a nouveau a 92% (mais seulement 4 fichiers infectes) :
Line222777 (File "C:\Users\Sami\Desktop\Shortcut_Module.exe"):
Error: Variable used without being declared.

Puis encore blackout de l'ordi qui requiert un redemarrage par le panneau ctrl+atl+suppr

salut le lien SOSVirus n'est pas synchro avec la vitesse à laquelle l(outil est mis à jour , depuis le 19 j'ai du faire une trentaine de mises à jour , donc prends ce lien , c'est celle d'aujourd'hui

http://www.aht.li/2159847/Shortcut_Module.exe

Ah okay, j'essaye avec la nouvelle version alors, merci !

Ah okay, j'essaye avec la nouvelle version alors, merci !

A nouveau le meme problem, a 92% et 4 infectes, mais a la ligne 24589, autrement le message d'erreur est identique

Salut,

Tu peux quand même poster le rapport STP ?

Gabriel.

Alors deux bonnes nouvelles déjà :
-le nettoyage a cramé pas mal de truc, j'ai pu réaccéder à Internet hier soir, et donc changer d'antivirus (j'étais un peu en colère contre le mien) donc exit Ad-aware, et welcome AVG !
-Je peux réutiliser mon ordi, donc être plus réactif et écrire correctement avec des accents, j'espère que vous apprécierez !

http://cjoint.com/?DGxmHnCrkw2

Re,

Très bien.

En revanche, tu es sûr d'avoir posté le bon rapport ? Apparemment il date du 21/07.

Gabriel.

C'est ça, j'ai juste eu un petit problème d'horloge interne qui s'était décalée d'un jour

Re,

Ah d'accord, pourtant il n'a pas l'air complet mais bon passons à la suite.

Fais un nouveau rapport ZHPDiag STP.

Gabriel.

C'est presque tout propre, c'est beau !
Rapport

Re,

Tu peux refaire en cliquant sur Complet STP ?

Gabriel.

Et voilà le Rapport complet, par contre je ne sais pas si c'est un bug du logiciel mais il me propose une nouvelle version seulement le lien ne fonctionne pas.

Re,

T'utilises un proxy, ou un DNS particulier ?

Gabriel.

Pas paramétré par mes soins, mais peut-être par défaut. Je crois que le service dropbox utilise un proxy, mais est-ce qu'il est spécifique ou est-ce qu'il le détecte automatiquement selon la situation je n'en ai aucune idée.

Salut,

D'accord.

Passe RogueKiller en Scan et poste le rapport STP : http://www.forum-entraide-informatique. ... y-tutoriel

Gabriel.

Désolé pour le temps de réponse, voici le rapport de RogueKiller après une petite anecdote : avant de faire quoi que ce soit RogueKiller a commencé par tuer un logiciel malveillant... lui-même, dans sa version téléchargée avortée précédemment !


RogueKiller V9.2.3.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9200 ) 64 bits version
Démarrage : Mode normal
Utilisateur : Sami [Droits d'admin]
Mode : Recherche -- Date : 07/24/2014 15:13:44

¤¤¤ Processus malicieux : 1 ¤¤¤
[Suspicious.Path] RogueKillerX64 (1).exe -- C:\Users\Sami\Desktop\RogueKillerX64 (1).exe[7] - TUÉ [TermThr]

¤¤¤ Entrées de registre : 18 ¤¤¤
[PUM.Proxy] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8877;https=127.0.0.1:8877 - TROUVÉ
[PUM.Proxy] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8877;https=127.0.0.1:8877 - TROUVÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 129.98.1.6 129.98.1.4 - TROUVÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 129.98.1.6 129.98.1.4 - TROUVÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C3E9E46A-38AF-45C1-8E10-9AFCF9A2E419} | DhcpNameServer : 172.17.160.19 172.17.160.15 172.17.160.17 - TROUVÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F811A574-8392-4A1E-B776-9B8BA0CCDD6F} | DhcpNameServer : 129.98.1.6 129.98.1.4 - TROUVÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{C3E9E46A-38AF-45C1-8E10-9AFCF9A2E419} | DhcpNameServer : 172.17.160.19 172.17.160.15 172.17.160.17 - TROUVÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{F811A574-8392-4A1E-B776-9B8BA0CCDD6F} | DhcpNameServer : 129.98.1.6 129.98.1.4 - TROUVÉ
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 - TROUVÉ
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 - TROUVÉ
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 - TROUVÉ
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 - TROUVÉ
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 - TROUVÉ
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 - TROUVÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - TROUVÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 - TROUVÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - TROUVÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 - TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 2 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\WINDOWS\System32\drivers\etc\hosts] ::1 localhost

¤¤¤ Antirootkit : 2 (Driver: CHARGE) ¤¤¤
[EAT:Addr] (explorer.exe) authui.dll - OpenAdapter10 : C:\WINDOWS\SYSTEM32\igd10umd64.dll @ 0x7ffd241d8050
[EAT:Addr] (explorer.exe) authui.dll - OpenAdapter10_2 : C:\WINDOWS\SYSTEM32\igd10umd64.dll @ 0x7ffd241d7ff0

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST500LM012 HN-M500MBB +++++
--- User ---
[MBR] 1cee22c9df209fb6311748dae7adeffc
[BSP] 1399ceab730b19246e4365a3255c1f1d : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x0) [VISIBLE] Offset (sectors): 1 | Size: 2097152 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic Flash Disk USB Device +++++
--- User ---
[MBR] bcb59ce8e04691fb4f00e60674b851b1
[BSP] afc701baaaa4b846aa11b5d7f624878c : Unknown MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0xb) [VISIBLE] Offset (sectors): 336 | Size: 3999 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_SCN_07242014_145510.log

Re,

C'est probablement volontaire qu'il se soit "auto-tué", si une autre version était en cours d'exécution.

Passe-le en Suppression et poste le rapport à présent.

Gabriel.

Le voici !

RogueKiller V9.2.3.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9200 ) 64 bits version
Démarrage : Mode normal
Utilisateur : Sami [Droits d'admin]
Mode : Suppression -- Date : 07/24/2014 16:05:13

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 18 ¤¤¤
[PUM.Proxy] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8877;https=127.0.0.1:8877 - NON SELECTIONNÉ
[PUM.Proxy] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8877;https=127.0.0.1:8877 - NON SELECTIONNÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 129.98.1.6 129.98.1.4 - NON SELECTIONNÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 129.98.1.6 129.98.1.4 - NON SELECTIONNÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C3E9E46A-38AF-45C1-8E10-9AFCF9A2E419} | DhcpNameServer : 172.17.160.19 172.17.160.15 172.17.160.17 - NON SELECTIONNÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F811A574-8392-4A1E-B776-9B8BA0CCDD6F} | DhcpNameServer : 129.98.1.6 129.98.1.4 - NON SELECTIONNÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{C3E9E46A-38AF-45C1-8E10-9AFCF9A2E419} | DhcpNameServer : 172.17.160.19 172.17.160.15 172.17.160.17 - NON SELECTIONNÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{F811A574-8392-4A1E-B776-9B8BA0CCDD6F} | DhcpNameServer : 129.98.1.6 129.98.1.4 - NON SELECTIONNÉ
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 - NON SELECTIONNÉ
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 - NON SELECTIONNÉ
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 - NON SELECTIONNÉ
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 - NON SELECTIONNÉ
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 - NON SELECTIONNÉ
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 - NON SELECTIONNÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - NON SELECTIONNÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 - NON SELECTIONNÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - NON SELECTIONNÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 - NON SELECTIONNÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 2 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\WINDOWS\System32\drivers\etc\hosts] ::1 localhost

¤¤¤ Antirootkit : 0 (Driver: CHARGE) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST500LM012 HN-M500MBB +++++
--- User ---
[MBR] 1cee22c9df209fb6311748dae7adeffc
[BSP] 1399ceab730b19246e4365a3255c1f1d : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x0) [VISIBLE] Offset (sectors): 1 | Size: 2097152 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic Flash Disk USB Device +++++
--- User ---
[MBR] bcb59ce8e04691fb4f00e60674b851b1
[BSP] afc701baaaa4b846aa11b5d7f624878c : Unknown MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0xb) [VISIBLE] Offset (sectors): 336 | Size: 3999 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_SCN_07242014_145510.log - RKreport_SCN_07242014_151344.log - RKreport_SCN_07242014_155940.log

Re,

Pardon, tu peux refaire la suppression en cochant préalablement les entrées commençant par [PUM.Proxy] et [PUM.Dns] ?

Merci,

Gabriel.

Je fais ça de suite. Il y aurait moyen que tu m'expliques en quelques mots quel est le problème résiduel ? Je dois avouer que je suis largement à saturation de mes connaissances en informatique là.

RogueKiller V9.2.3.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 8.1 (6.3.9200 ) 64 bits version
Démarrage : Mode normal
Utilisateur : Sami [Droits d'admin]
Mode : Suppression -- Date : 07/24/2014 16:50:24

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 18 ¤¤¤
[PUM.Proxy] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8877;https=127.0.0.1:8877 - SUPPRIMÉ
[PUM.Proxy] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : http=127.0.0.1:8877;https=127.0.0.1:8877 - SUPPRIMÉ
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 129.98.1.6 129.98.1.4 - REMPLACÉ ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 129.98.1.6 129.98.1.4 - REMPLACÉ ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C3E9E46A-38AF-45C1-8E10-9AFCF9A2E419} | DhcpNameServer : 172.17.160.19 172.17.160.15 172.17.160.17 - REMPLACÉ ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{F811A574-8392-4A1E-B776-9B8BA0CCDD6F} | DhcpNameServer : 129.98.1.6 129.98.1.4 - REMPLACÉ ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{C3E9E46A-38AF-45C1-8E10-9AFCF9A2E419} | DhcpNameServer : 172.17.160.19 172.17.160.15 172.17.160.17 - REMPLACÉ ()
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{F811A574-8392-4A1E-B776-9B8BA0CCDD6F} | DhcpNameServer : 129.98.1.6 129.98.1.4 - REMPLACÉ ()
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 - NON SELECTIONNÉ
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 - NON SELECTIONNÉ
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 - NON SELECTIONNÉ
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-2830974330-3213038589-3334289725-1001\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 - NON SELECTIONNÉ
[PUM.Policies] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 - NON SELECTIONNÉ
[PUM.Policies] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | ConsentPromptBehaviorAdmin : 0 - NON SELECTIONNÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - NON SELECTIONNÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 - NON SELECTIONNÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 - NON SELECTIONNÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 - NON SELECTIONNÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 2 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost
[C:\WINDOWS\System32\drivers\etc\hosts] ::1 localhost

¤¤¤ Antirootkit : 0 (Driver: CHARGE) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST500LM012 HN-M500MBB +++++
--- User ---
[MBR] 1cee22c9df209fb6311748dae7adeffc
[BSP] 1399ceab730b19246e4365a3255c1f1d : Empty MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x0) [VISIBLE] Offset (sectors): 1 | Size: 2097152 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic Flash Disk USB Device +++++
--- User ---
[MBR] bcb59ce8e04691fb4f00e60674b851b1
[BSP] afc701baaaa4b846aa11b5d7f624878c : Unknown MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0xb) [VISIBLE] Offset (sectors): 336 | Size: 3999 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_SCN_07242014_145510.log - RKreport_SCN_07242014_151344.log - RKreport_SCN_07242014_155940.log - RKreport_DEL_07242014_160513.log
RKreport_SCN_07242014_163436.log

Salut.

Il y avait surtout des adwares (logiciels publicitaires), ainsi qu'un proxy qui s'était installé.

Fais un nouveau rapport ZHPDiag pour voir où ça en est.

Gabriel.

Je ne savais pas qu'il existait des proxys "viraux". Voici le rapport, je crois que c'est tout propre
http://cjoint.com/?DGzptDLhBqx

Re,

Tu connais ce dossier ? C:\Users\Sami\AppData\Roaming\Microsoft\Office on Demand\

Gabriel.

Office on demand oui, après le dossier dans roaming en soi non, mais c'est un truc installé depuis le site de microsoft pour avoir accès à une version "portative" en ligne d'Office depuis le OneDrive

Re,

D'accord bien.

Une dernière chose avant de finaliser.

Passe MBAM et poste le rapport : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.