Se connecter / S'enregistrer
Votre question

Est-il possible que la gendarmerie bloque un ordinateur et demande un paimenent?

Tags :
  • Virus
  • Ordinateur
  • Sécurité
Dernière réponse : dans Sécurité et virus
23 Mai 2012 22:26:53

Bonsoir,
(D'abord, sait-on jamais, est-il possible que la gendarmerie bloque un ordinateur et demande un paimenent?)
Bien, mon ordinateur est semble-t-il infecté par ce virus de la gendarmerie et je sollicite votre aide pour m'en débarasser.
Je suis sur Windows 7. J'utilise actuellement mon ordinateur en mode sans échec avec prise en charge réseau. Et je n'y connais rien en informatique...

Si quelqu'un peut m'aider je lui en suis reconnaissant!

Autres pages sur : possible gendarmerie bloque ordinateur demande paimenent

a b 8 Sécurité
23 Mai 2012 22:44:52

Bonjour,

Le blocage dépend de la version de l'infection. Tu as des fichiers cryptés "locked" ?

  • Télécharge  RogueKiller de Tigzy et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne l'option Recherche
  • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse

  • Fais un scan avec Combofix puis poste le rapport :
    http://www.bleepingcomputer.com/combofix/fr/comment-uti...
    23 Mai 2012 22:56:29

    Merci de me répondre.
    Désolé, mais qu'est-ce donc que des fichiers cryptés locked? ^^
    Bon, enfin voilà je crois le rapport que tu demandes.


    RogueKiller V7.4.5 [18/05/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Niels [Droits d'admin]
    Mode: Recherche -- Date: 23/05/2012 22:53:22

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 4 ¤¤¤
    [SUSP PATH] HKCU\[...]\Windows : load (C:\Users\Niels\AppData\Local\Temp\AFAFE987F623668F58F0.exe,) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-27180672-1159654963-1176641200-1000[...]\Windows : load (C:\Users\Niels\AppData\Local\Temp\AFAFE987F623668F58F0.exe,) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: FUJITSU MJA2500BH G2 SATA Disk Device +++++
    --- User ---
    [MBR] d121eb870122b7eef5ed3fc57868c275
    [BSP] 55aa274f1f40fe5881a5a9893c9c4ce4 : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 238470 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 489207808 | Size: 238069 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    Contenus similaires
    a b 8 Sécurité
    23 Mai 2012 23:07:39

    Quelques personnes ont des fichiers verrouillés avec cette infection. Si ce n'est pas ton cas, tant mieux :) 
    Tu peux passer à la suite.
    23 Mai 2012 23:52:56

    Bien, j'ai bien conscience d'être un manche mais ça me paraît bien compliqué.
    Je ne sais pas où l'on voit les fichiers infectieux, je suis donc passé à combofix. Quand il a fini, l'ordinateur a redémarré en mode normal et je ne pouvais rien faire: pas ouvrir de fichier, ni me connecter à internet ("fichier déplacé, renommé ou supprimé").
    J'ai redemarré encore en sans échec...
    J'espère que c'est bien ce qu'il te faut (ça me paraît immense...):

    ComboFix 12-05-23.05 - Niels 23/05/2012 23:24:58.1.2 - x64 NETWORK
    Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3836.2708 [GMT 2:00]
    Lancé depuis: c:\users\Niels\Desktop\ComboFix.exe
    AV: avast! Antivirus *Enabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
    SP: avast! Antivirus *Enabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
    SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    * Un nouveau point de restauration a été créé
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\program files (x86)\ClickPotatoLite
    c:\program files (x86)\ClickPotatoLite\bin\10.0.701.0\copyright.txt
    c:\program files (x86)\ClickPotatoLite\bin\10.0.701.0\firefox\extensions\install.rdf
    c:\program files (x86)\ShoppingReport2
    c:\programdata\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
    c:\programdata\ClickPotatoLiteSA
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSA.dat
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSA_kyf.dat
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAAbout.mht
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAau.dat
    c:\programdata\ClickPotatoLiteSA\ClickPotatoLiteSAEULA.mht
    c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato
    c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\About Us.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Customer Support.lnk
    c:\programdata\Microsoft\Windows\Start Menu\Programs\ClickPotato\ClickPotato Uninstall Instructions.lnk
    c:\programdata\xp
    c:\programdata\xp\EBLib.dll
    c:\programdata\xp\TPwSav.sys
    c:\users\Niels\Documents\~WRD2400.tmp
    c:\users\Niels\Documents\~WRD4019.tmp
    c:\users\Niels\Documents\~WRL0005.tmp
    c:\users\Niels\Documents\~WRL0463.tmp
    c:\users\Niels\Documents\~WRL0570.tmp
    c:\users\Niels\Documents\~WRL1119.tmp
    c:\users\Niels\Documents\~WRL1491.tmp
    c:\users\Niels\Documents\~WRL2249.tmp
    c:\users\Niels\Documents\~WRL2466.tmp
    c:\users\Niels\Documents\~WRL2647.tmp
    c:\users\Niels\Documents\~WRL2723.tmp
    c:\users\Niels\Documents\~WRL3037.tmp
    c:\users\Niels\Documents\~WRL3245.tmp
    c:\users\Niels\Documents\~WRL3292.tmp
    c:\users\Niels\Documents\~WRL3678.tmp
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2012-04-23 au 2012-05-23 ))))))))))))))))))))))))))))))))))))
    .
    .
    2012-05-23 21:32 . 2012-05-23 21:32 -------- d-----w- c:\users\Default\AppData\Local\temp
    2012-05-22 10:14 . 2012-05-08 17:02 8955792 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{118A4DF3-D3FD-4724-9495-5A2D476DF9B8}\mpengine.dll
    2012-05-21 11:13 . 2012-05-21 11:13 163048 ----a-w- c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10141.bin
    2012-05-18 16:08 . 2012-01-25 06:38 77312 ----a-w- c:\windows\system32\rdpwsx.dll
    2012-05-18 16:08 . 2012-01-25 06:38 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll
    2012-05-18 14:58 . 2012-05-18 14:58 -------- d-----w- c:\windows\system32\SPReview
    2012-05-18 14:55 . 2012-05-18 14:56 -------- d-----w- c:\windows\system32\EventProviders
    2012-05-11 20:56 . 2012-03-03 06:35 1544704 ----a-w- c:\windows\system32\DWrite.dll
    2012-05-11 20:56 . 2012-03-03 05:31 1077248 ----a-w- c:\windows\SysWow64\DWrite.dll
    2012-05-11 20:52 . 2012-03-31 06:05 5559664 ----a-w- c:\windows\system32\ntoskrnl.exe
    2012-05-11 20:52 . 2012-03-31 03:10 3146240 ----a-w- c:\windows\system32\win32k.sys
    2012-05-11 20:52 . 2012-03-31 04:39 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe
    2012-05-11 20:52 . 2012-03-31 04:39 3913072 ----a-w- c:\windows\SysWow64\ntoskrnl.exe
    2012-05-11 20:52 . 2012-03-17 07:58 75120 ----a-w- c:\windows\system32\drivers\partmgr.sys
    2012-05-11 20:52 . 2012-03-30 11:35 1918320 ----a-w- c:\windows\system32\drivers\tcpip.sys
    2012-05-11 20:52 . 2010-11-20 13:24 2164224 ----a-w- c:\program files\Windows Journal\Journal.exe
    2012-05-11 20:52 . 2012-03-31 05:42 1732096 ----a-w- c:\program files\Windows Journal\NBDoc.DLL
    2012-05-11 20:52 . 2012-03-31 05:40 1367552 ----a-w- c:\program files\Common Files\Microsoft Shared\ink\journal.dll
    2012-05-11 20:52 . 2012-03-31 04:29 936960 ----a-w- c:\program files (x86)\Common Files\Microsoft Shared\ink\journal.dll
    2012-05-11 20:52 . 2012-03-31 05:40 1402880 ----a-w- c:\program files\Windows Journal\JNWDRV.dll
    2012-05-11 20:52 . 2012-03-31 05:40 1393664 ----a-w- c:\program files\Windows Journal\JNTFiltr.dll
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2012-05-18 15:18 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll
    2012-05-18 15:18 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll
    2012-03-01 06:46 . 2012-04-12 10:50 23408 ----a-w- c:\windows\system32\drivers\fs_rec.sys
    2012-03-01 06:38 . 2012-04-12 10:50 220672 ----a-w- c:\windows\system32\wintrust.dll
    2012-03-01 06:33 . 2012-04-12 10:50 81408 ----a-w- c:\windows\system32\imagehlp.dll
    2012-03-01 06:28 . 2012-04-12 10:50 5120 ----a-w- c:\windows\system32\wmi.dll
    2012-03-01 05:37 . 2012-04-12 10:50 172544 ----a-w- c:\windows\SysWow64\wintrust.dll
    2012-03-01 05:33 . 2012-04-12 10:50 159232 ----a-w- c:\windows\SysWow64\imagehlp.dll
    2012-03-01 05:29 . 2012-04-12 10:50 5120 ----a-w- c:\windows\SysWow64\wmi.dll
    2012-02-28 06:56 . 2012-04-12 10:53 2311168 ----a-w- c:\windows\system32\jscript9.dll
    2012-02-28 06:49 . 2012-04-12 10:53 1390080 ----a-w- c:\windows\system32\wininet.dll
    2012-02-28 06:48 . 2012-04-12 10:53 1493504 ----a-w- c:\windows\system32\inetcpl.cpl
    2012-02-28 06:42 . 2012-04-12 10:53 2382848 ----a-w- c:\windows\system32\mshtml.tlb
    2012-02-28 01:18 . 2012-04-12 10:53 1799168 ----a-w- c:\windows\SysWow64\jscript9.dll
    2012-02-28 01:11 . 2012-04-12 10:53 1427456 ----a-w- c:\windows\SysWow64\inetcpl.cpl
    2012-02-28 01:11 . 2012-04-12 10:53 1127424 ----a-w- c:\windows\SysWow64\wininet.dll
    2012-02-28 01:03 . 2012-04-12 10:53 2382848 ----a-w- c:\windows\SysWow64\mshtml.tlb
    2012-02-24 23:34 . 2012-02-24 23:34 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe
    2012-02-24 23:34 . 2012-02-24 23:34 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll
    2012-02-24 23:34 . 2012-02-24 23:34 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe
    2012-02-24 23:34 . 2012-02-24 23:34 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe
    2012-02-24 23:34 . 2012-02-24 23:34 74752 ----a-w- c:\windows\SysWow64\iesetup.dll
    2012-02-24 23:34 . 2012-02-24 23:34 63488 ----a-w- c:\windows\SysWow64\tdc.ocx
    2012-02-24 23:34 . 2012-02-24 23:34 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll
    2012-02-24 23:34 . 2012-02-24 23:34 420864 ----a-w- c:\windows\SysWow64\vbscript.dll
    2012-02-24 23:34 . 2012-02-24 23:34 367104 ----a-w- c:\windows\SysWow64\html.iec
    2012-02-24 23:34 . 2012-02-24 23:34 35840 ----a-w- c:\windows\SysWow64\imgutil.dll
    2012-02-24 23:34 . 2012-02-24 23:34 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll
    2012-02-24 23:34 . 2012-02-24 23:34 222208 ----a-w- c:\windows\system32\msls31.dll
    2012-02-24 23:34 . 2012-02-24 23:34 161792 ----a-w- c:\windows\SysWow64\msls31.dll
    2012-02-24 23:34 . 2012-02-24 23:34 152064 ----a-w- c:\windows\SysWow64\wextract.exe
    2012-02-24 23:34 . 2012-02-24 23:34 150528 ----a-w- c:\windows\SysWow64\iexpress.exe
    2012-02-24 23:34 . 2012-02-24 23:34 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe
    2012-02-24 23:34 . 2012-02-24 23:34 11776 ----a-w- c:\windows\SysWow64\mshta.exe
    2012-02-24 23:34 . 2012-02-24 23:34 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll
    2012-02-24 23:34 . 2012-02-24 23:34 101888 ----a-w- c:\windows\SysWow64\admparse.dll
    2012-02-24 23:34 . 2012-02-24 23:34 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe
    2012-02-24 23:34 . 2012-02-24 23:34 85504 ----a-w- c:\windows\system32\iesetup.dll
    2012-02-24 23:34 . 2012-02-24 23:34 76800 ----a-w- c:\windows\system32\tdc.ocx
    2012-02-24 23:34 . 2012-02-24 23:34 603648 ----a-w- c:\windows\system32\vbscript.dll
    2012-02-24 23:34 . 2012-02-24 23:34 49664 ----a-w- c:\windows\system32\imgutil.dll
    2012-02-24 23:34 . 2012-02-24 23:34 48640 ----a-w- c:\windows\system32\mshtmler.dll
    2012-02-24 23:34 . 2012-02-24 23:34 448512 ----a-w- c:\windows\system32\html.iec
    2012-02-24 23:34 . 2012-02-24 23:34 30720 ----a-w- c:\windows\system32\licmgr10.dll
    2012-02-24 23:34 . 2012-02-24 23:34 173056 ----a-w- c:\windows\system32\ieUnatt.exe
    2012-02-24 23:34 . 2012-02-24 23:34 165888 ----a-w- c:\windows\system32\iexpress.exe
    2012-02-24 23:34 . 2012-02-24 23:34 160256 ----a-w- c:\windows\system32\wextract.exe
    2012-02-24 23:34 . 2012-02-24 23:34 135168 ----a-w- c:\windows\system32\IEAdvpack.dll
    2012-02-24 23:34 . 2012-02-24 23:34 12288 ----a-w- c:\windows\system32\mshta.exe
    2012-02-24 23:34 . 2012-02-24 23:34 114176 ----a-w- c:\windows\system32\admparse.dll
    2012-02-24 23:34 . 2012-02-24 23:34 111616 ----a-w- c:\windows\system32\iesysprep.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2012-01-03 1514152]
    .
    [HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]
    .
    [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    2012-01-03 15:31 1514152 ----a-w- c:\program files (x86)\Ask.com\GenericAskToolbar.dll
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files (x86)\Ask.com\GenericAskToolbar.dll" [2012-01-03 1514152]
    .
    [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DriverScanner"="c:\program files (x86)\Uniblue\DriverScanner\launcher.exe" [2011-05-16 338296]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]
    "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
    "NBAgent"="c:\program files (x86)\Nero\Nero BackItUp & Burn\Nero BackItUp\NBAgent.exe" [2010-03-09 1086760]
    "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-03-15 98304]
    "HWSetup"="c:\program files\TOSHIBA\Utilities\HWSetup.exe" [2010-03-04 423936]
    "KeNotify"="c:\program files (x86)\TOSHIBA\Utilities\KeNotify.exe" [2009-12-25 34160]
    "SVPWUTIL"="c:\program files (x86)\TOSHIBA\Utilities\SVPWUTIL.exe" [2010-02-22 352256]
    "TWebCamera"="c:\program files (x86)\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" [2010-02-23 2454840]
    "ToshibaServiceStation"="c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" [2009-10-06 1294136]
    "EEventManager"="c:\progra~2\EPSONS~1\EVENTM~1\EEventManager.exe" [2009-04-07 673616]
    "FlipViewer Library"="c:\program files (x86)\E-Book Systems\FlipViewer\FlipViewerLibrary.exe" [2009-07-23 409296]
    "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
    "ApnUpdater"="c:\program files (x86)\Ask.com\Updater\Updater.exe" [2012-01-03 1391272]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "TOSHIBA Online Product Information"="c:\program files (x86)\TOSHIBA\TOSHIBA Online Product Information\topi.exe" [2010-03-03 4581280]
    .
    c:\users\Niels\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
    .
    c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
    TRDCReminder.lnk - c:\program files (x86)\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "ConsentPromptBehaviorAdmin"= 5 (0x5)
    "ConsentPromptBehaviorUser"= 3 (0x3)
    "EnableUIADesktopToggle"= 0 (0x0)
    "EnableLinkedConnections"= 1 (0x1)
    .
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
    @=""
    .
    R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
    R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
    R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]
    R3 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files (x86)\Toshiba TEMPRO\TemproSvc.exe [2010-02-11 124368]
    R3 TMachInfo;TMachInfo;c:\program files (x86)\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-10-06 51512]
    R3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2010-02-05 137560]
    R3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2010-02-23 835952]
    R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
    R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
    S1 aswSP;aswSP; [x]
    S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
    S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
    S2 aswFsBlk;aswFsBlk; [x]
    S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
    S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFIWmxSvcs64.exe [2010-01-28 249200]
    S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
    S2 ConfigFree Service;ConfigFree Service;c:\program files (x86)\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
    S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2012-01-04 822624]
    S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2011-10-01 508776]
    S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2010-04-06 258928]
    S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [x]
    S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x]
    S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
    S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [x]
    S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
    S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERS\rtl8192se.sys [x]
    S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [x]
    S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [x]
    S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [x]
    S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [x]
    S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2011-10-01 219496]
    .
    .
    --- Autres Services/Pilotes en mémoire ---
    .
    *NewlyCreated* - WS2IFSL
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2012-05-23 c:\windows\Tasks\DriverScanner.job
    - c:\program files (x86)\Uniblue\DriverScanner\dsmonitor.exe [2012-01-21 10:22]
    .
    2012-05-23 c:\windows\Tasks\Epson Printer Software Downloader.job
    - c:\program files (x86)\EPSON\EPAPDL\E_SAPDL2.EXE [2009-05-26 10:43]
    .
    2012-05-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-27180672-1159654963-1176641200-1000Core.job
    - c:\users\Niels\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-02 14:54]
    .
    2012-05-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-27180672-1159654963-1176641200-1000UA.job
    - c:\users\Niels\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-02 14:54]
    .
    .
    --------- x86-64 -----------
    .
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Toshiba TEMPRO"="c:\program files (x86)\Toshiba TEMPRO\TemproTray.exe" [2010-02-11 1050072]
    "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-03-22 10134560]
    "RtHDVBg"="c:\program files\Realtek\Audio\HDA\RAVBg64.exe" [2010-03-22 896032]
    "TosSENotify"="c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosWaitSrv.exe" [2010-02-05 709976]
    "TosVolRegulator"="c:\program files\TOSHIBA\TosVolRegulator\TosVolRegulator.exe" [2009-11-11 24376]
    "Toshiba Registration"="c:\program files\Toshiba\Registration\ToshibaReminder.exe" [2010-04-19 136136]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    "LoadAppInit_DLLs"=0x0
    .
    ------- Examen supplémentaire -------
    .
    uLocal Page = c:\windows\system32\blank.htm
    uStart Page = hxxp://toshiba.msn.com
    mLocal Page = c:\windows\SysWOW64\blank.htm
    IE: E&xporter vers Microsoft Excel - c:\progra~2\MIF5BA~1\Office12\EXCEL.EXE/3000
    TCP: DhcpNameServer = 192.168.1.1
    FF - ProfilePath - c:\users\Niels\AppData\Roaming\Mozilla\Firefox\Profiles\ed6jfleb.default\
    FF - prefs.js: browser.search.selectedEngine - Ask.com
    FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=fr_FR&apn_uid=F20D596C-5F47-420E-A393-DC3132725589&apn_ptnrs=U3&apn_sauid=B3EEFB97-6D81-4E68-87D5-E7F337A8F136&apn_dtid=OSJ000YYFR&&q=
    .
    - - - - ORPHELINS SUPPRIMES - - - -
    .
    Toolbar-Locked - (no file)
    Wow6432Node-HKCU-Run-RESTART_STICKY_NOTES - c:\windows\System32\StikyNot.exe
    Toolbar-Locked - (no file)
    WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    HKLM-Run-SynTPEnh - c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe
    HKLM-Run-TosNC - c:\program files (x86)\Toshiba\BulletinBoard\TosNcCore.exe
    HKLM-Run-TPwrMain - c:\program files (x86)\TOSHIBA\Power Saver\TPwrMain.EXE
    HKLM-Run-HSON - c:\program files (x86)\TOSHIBA\TBS\HSON.exe
    HKLM-Run-SmoothView - c:\program files (x86)\Toshiba\SmoothView\SmoothView.exe
    HKLM-Run-00TCrdMain - c:\program files (x86)\TOSHIBA\FlashCards\TCrdMain.exe
    HKLM-Run-SmartFaceVWatcher - c:\program files (x86)\Toshiba\SmartFaceV\SmartFaceVWatcher.exe
    HKLM-Run-Teco - c:\program files (x86)\TOSHIBA\TECO\Teco.exe
    HKLM-Run-TosWaitSrv - c:\program files (x86)\TOSHIBA\TPHM\TosWaitSrv.exe
    HKLM-Run-TosReelTimeMonitor - c:\program files (x86)\TOSHIBA\ReelTime\TosReelTimeMonitor.exe
    AddRemove-PunkBusterSvc - c:\windows\system32\pbsvc.exe
    .
    .
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10w_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10w_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Shockwave Flash Object"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    @="0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    @="ShockwaveFlash.ShockwaveFlash.10"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="ShockwaveFlash.ShockwaveFlash"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    @Denied: (A 2) (Everyone)
    @="Macromedia Flash Factory Object"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx"
    "ThreadingModel"="Apartment"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    @="FlashFactory.FlashFactory.1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash10w.ocx, 1"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    @="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    @="FlashFactory.FlashFactory"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
    "SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
    00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\
    .
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
    @Denied: (Full) (Everyone)
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\program files (x86)\Common Files\EPSON\EBAPI\eEBSVC.exe
    c:\program files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe
    c:\windows\SysWOW64\PnkBstrA.exe
    c:\program files (x86)\TOSHIBA\ConfigFree\NDSTray.exe
    .
    **************************************************************************
    .
    Heure de fin: 2012-05-23 23:43:07 - La machine a redémarré
    ComboFix-quarantined-files.txt 2012-05-23 21:43
    .
    Avant-CF: 185 237 594 112 octets libres
    Après-CF: 185 799 139 328 octets libres
    a b 8 Sécurité
    24 Mai 2012 11:08:00

    Il se peut que la connexion se coupe mais c'est récupérable, tu as récupéré internet ?
    Chaque rapport nous donne différentes entrée dans le registre et les fichiers. En connaissant bien les infections, on sait quoi utiliser.
    Pour Rogue Killer :
    Citation :
    [SUSP PATH] HKCU\[...]\Windows : load (C:\Users\Niels\AppData\Local\Temp\AFAFE987F623668F58F0.exe,) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-27180672-1159654963-1176641200-1000[...]\Windows : load (C:\Users\Niels\AppData\Local\Temp\AFAFE987F623668F58F0.exe,) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    Il y a bien des infections, tu peux supprimer.

    Le virus Gendarmerie vient souvent avec des adwares qui te balancent de la pub. On va s'en charger :

    • Sur cette page AdwCleaner (de Xplode) , clique sur l'image de téléchargement et enregistre le fichier sur ton Bureau.
    • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation.
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur. Et sous IE9, le filtre SmartScreen déclenche une alerte, clique sur Actions puis sur Exécuter quand même /!\
    • Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
    • A la fin, un rapport AdwCleaner[S1].txt s'ouvre. Poste le rapport en pièce jointe dans ta prochaine réponse

  • Rq : le rapport se trouve sous C:\AdwCleaner[S1].txt
    24 Mai 2012 13:12:33

    Merci de continuer.
    Pour l'instant, tout fonctionne à nouveau...
    Voilà le rapport adwCleaner

    # AdwCleaner v1.607 - Rapport créé le 24/05/2012 à 13:04:35
    # Mis à jour le 23/05/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Niels - NIELS-TOSH
    # Exécuté depuis : C:\Users\Niels\Desktop\adwcleaner.exe
    # Option [Suppression]


    ***** [Services] *****


    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Niels\AppData\LocalLow\AskToolbar
    Dossier Supprimé : C:\Users\Niels\AppData\LocalLow\ShoppingReport2
    Dossier Supprimé : C:\Users\Niels\AppData\LocalLow\vShare
    Dossier Supprimé : C:\Users\Niels\AppData\Roaming\OpenCandy
    Dossier Supprimé : C:\ProgramData\Ask
    Dossier Supprimé : C:\Program Files (x86)\Ask.com
    Dossier Supprimé : C:\Program Files (x86)\vShare
    Dossier Supprimé : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    Fichier Supprimé : C:\Users\Public\Desktop\eBay.lnk

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Ask.com
    Clé Supprimée : HKCU\Software\APN
    Clé Supprimée : HKCU\Software\vShare
    Clé Supprimée : HKCU\Software\AppDataLow\Software\AskToolbar
    Clé Supprimée : HKCU\Software\AppDataLow\Software\ShoppingReport2
    Clé Supprimée : HKLM\SOFTWARE\APN
    Clé Supprimée : HKLM\SOFTWARE\AskToolbar
    Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
    Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\ShoppingReport2.HbInfoBand
    Clé Supprimée : HKLM\SOFTWARE\Classes\ShoppingReport2.HbInfoBand.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\ShoppingReport2.RprtCtrl
    Clé Supprimée : HKLM\SOFTWARE\Classes\ShoppingReport2.RprtCtrl.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\vShare.ScriptHelpers
    Clé Supprimée : HKLM\SOFTWARE\Classes\vShare.ScriptHelpers.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
    Clé Supprimée : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\vsharechrome
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vShare
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ApnUpdater]
    Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [ClickPotatoLite@ClickPotatoLite.com]
    [x64] Clé Supprimée : HKLM\SOFTWARE\Software
    [x64] Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D2083641-E57F-4EAB-BB85-0582424F4A29}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{B035BA6B-57CD-4F72-B545-65BE465FCAF6}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D44FD6F0-9746-484E-B5C4-C66688393872}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{043C5167-00BB-4324-AF7E-62013FAEDACF}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]
    [x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0EB3F101-224A-4B2B-9E5B-DF720857529C}
    [x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}
    [x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    [x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    [x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A1F1ECD3-4806-44C6-A869-F0DADF11C57C}
    [x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v8.0.1 (fr)

    Nom du profil : default
    Fichier : C:\Users\Niels\AppData\Roaming\Mozilla\Firefox\Profiles\ed6jfleb.default\prefs.js

    Supprimée : user_pref("browser.search.defaultengine", "Ask.com");
    Supprimée : user_pref("browser.search.defaultenginename", "Ask.com");
    Supprimée : user_pref("browser.search.order.1", "Ask.com");
    Supprimée : user_pref("browser.search.selectedEngine", "Ask.com");
    Supprimée : user_pref("extensions.asktb.ff-original-keyword-url", "");
    Supprimée : user_pref("keyword.URL", "hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&loca[...]

    -\\ Google Chrome v18.0.1025.168

    Fichier : C:\Users\Niels\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Supprimée : "path": "C:\\Users\\Niels\\AppData\\Roaming\\..\\LocalLow\\StoneTrip\\WebPlayer1.8.1\\npShi[...]

    -\\ Opera v11.64.1403.0

    Fichier : C:\Users\Niels\AppData\Roaming\Opera\Opera\operaprefs.ini

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [7185 octets] - [24/05/2012 13:04:35]

    ########## EOF - C:\AdwCleaner[S1].txt - [7313 octets] ##########
    a b 8 Sécurité
    24 Mai 2012 13:56:25

    Tu as fait la suppression avec Rogue Killer ?
    24 Mai 2012 14:27:04

    Oui mon capitaine; le rapport n'indique plus de "FOUND".
    C'est terminé?
    a b 8 Sécurité
    24 Mai 2012 15:15:53

    Pas tout à fait :)  on va voir s'il y a des restes et ensuite il faut sécuriser le pc.
    Parce que si tu avais fait les maj Java et cie, tu n'aurais pas eu de prob :) 

    • Télécharge OTL (de Old Timer) sur ton bureau.
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
    • Coche Avec liste blanche sous Registre: approfondi.
    • Fais de même pour celle devant Tous les utilisateurs.

    • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut :
      netsvcs
      msconfig
      drivers32
      activex
      /md5start
      explorer.exe
      wininit.exe
      winlogon.exe
      userinit.exe
      /md5stop
      %SYSTEMDRIVE%\*.exe
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %systemroot%\*. /mp /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\syswow64\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\syswow64\drivers\*.sys /lockedfiles
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs
      CREATERESTOREPOINT

    • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
    • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Rq : Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En ças de problème, voir cette aide à l'utilisation ici.
    24 Mai 2012 16:02:31

    J'ai bien l'impression que ça ne marche pas. J'ai à peine le temps de coller et de lancer l'analyse et la fenêtre se ferme automatiquement, à chaque fois...
    a b 8 Sécurité
    24 Mai 2012 17:41:51

    Et si tu le fais en mode sans échec ?
    a b 8 Sécurité
    24 Mai 2012 21:13:00

    On verra les MaJ à la fin tkt :D 
    J'aimerais vérifier quelque chose avant.

    • Télécharge Gmer (de Przemyslaw Gmerek).
    • Dézippe-le dans un dossier dédié ou sur ton Bureau.
    • Déconnecte toi d'Internet puis ferme tous les programmes.
    • Double-clique sur Gmer.exe.
      Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
    • Clique sur l'onglet Rootkit.
    • A droite, coche seulement Files, Services & Registry.
    • Clique maintenant sur Scan.
    • Lorsque le scan est terminé, clique sur Copy.
    • Ouvre le Bloc-notes puis clique sur le Menu Edition puis Coller.
    • Le rapport doit alors apparaître.
    • Enregistre le fichier sur ton Bureau et poste le contenu ici.
    25 Mai 2012 01:37:41

    C'est possible qu'il n y ait rien au rapport? Ca ne copie rien quand je clique sur "Copy" et il était écrit "hasn't found any modification" quand ça s'est terminé...
    a b 8 Sécurité
    25 Mai 2012 11:27:45

    C'est possible oui.

    Citation :
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D4240FA7-F179-4ABD-A79E-FBAD5E395E6E}: DhcpNameServer = 100.100.0.103

    On retrouve cette IP aux US surtout, tu vis à l'étranger ?

    • Relance OTL.exe
    • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
      /!\ Attention, utilisateur d'Avast!, ne lancez pas OTL en mode sandbox /!\
    • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche :

      :OTL
      IE - HKCU\..\SearchScopes\{0F3D557F-DE1F-4503-A344-B56C4678EEDC}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=F20D596C-5F47-420E-A393-DC3132725589&apn_sauid=B3EEFB97-6D81-4E68-87D5-E7F337A8F136
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
      O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
      O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
      O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
      O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
      O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

      :Commands
      [emptytemp]

    • Puis clique sur le bouton Correction en haut à gauche.
    • Le pc va redémarrer (si ce n'est pas le cas, fais-le manuellement).
    • Poste le rapport de suppression s'il apparait.

  • Note : le rapport est enregistré sous format .log, il convient de changer cette extension en .txt si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure.
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\

    &

    • Télécharge SX Check&Update (de igor 51) sur ton Bureau.
      /!\ Désactive ton anti-virus et ferme toutes applications en cours /!\
      (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    • Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.
    • Au menu principal, clique sur le bouton Update Flash et installe la nouvelle version Flash Player pour tous les navigateurs.
    • Ensuite, clique sur le bouton Update Java et Adobe Reader pour installer la dernière version proposée.
      /!\ Lors des installations, pense à décocher les cases d'installation pour des toolbars et autres /!\
    • Au menu principal, choisis l'option Rapport.
    • Poste le rapport qui s'affiche à ton écran.


    a b 8 Sécurité
    25 Mai 2012 13:47:58

    Ligne curieuse, déjà nettoyé sans prob sur d'autres forums. Avant de le faire, tu as un autre pc que tu peux utiliser en cas de perte de ta connexion Internet ?
    Cela ne devrait pas se produire ici mais on sait jamais, on pourrait facilement la rétablir ensuite.
    25 Mai 2012 14:33:18

    Ca te semble vraiment nécessaire? S'il y a des risques d'abîmer ou perdre quelque chose je préfère éviter.
    Mais oui j'ai accès à un autre ordinateur.
    a b 8 Sécurité
    25 Mai 2012 21:37:45

    Nan mais ce n'est pas risqué, dans le cas d'une perte de connexion, une simple ligne de commande rétablit le truc. Comme tu le souhaites.
    25 Mai 2012 21:47:49

    Okay Okay, que reste-t-il donc à faire?
    a b 8 Sécurité
    25 Mai 2012 22:05:19

    Même étape que précédemment mais avec ce script :

    :OTL
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D4240FA7-F179-4ABD-A79E-FBAD5E395E6E}: DhcpNameServer = 100.100.0.103

    :Commands
    [emptytemp]
    27 Mai 2012 16:18:01

    Est-ce que c'est fini ? Ou bien es--tu parti en week end? ^^
    a b 8 Sécurité
    27 Mai 2012 18:44:56

    Absent juste hier désolé :)  tu as encore des soucis ?

    On va s'occuper de supprimer les logiciels de désinfection maintenant :
    • Sur cette page DelFix (de Xplode) , clique sur bouton de téléchargement et enregistre le fichier sur ton Bureau.
    • Lance le programme puis clique sur Suppression puis poste le rapport.

  • Pour ne plus avoir ce genre de problème, il est important de maintenir son système à jour.
    Fais attention à ce que tu installes, il ne faut pas cliquer avec frénésie sur le bouton Suivant lors de l'installation, sinon c'est les pubs qui arriveront !
    Et pour finir, fais attention aux sites que tu consultes. Il faut éviter les sites à risques : cracks, P2P, pornographie, sites inconnus, etc.
    a b 8 Sécurité
    28 Mai 2012 20:58:04

    La suppression c'est le rôle de DelFix ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS