pub intempestive googleRésolu/Fermé

Question

Bonjour,
Lorsque je suis sur google, je ne peux cvliquer sur aucun resultats de la recherche sans qu'on me redirigevers un site publicitaire et au final je ne peux plus aller sur le web, sauf si je tape l'adresse du site. Je me suis renseigne, j'ai lu le topic de CCM sur le sujet, j'ai fait tout ce qui etait preconise, Hijackthis, Malware bytes, Smitfraudx, Combofix et j'en passe, AUCUN ne detecte ce fameux virus, je ne sais plus quoi faire je suis tout le temps redirige malgre les nombreux scans que j'ai pu faire. Comment me debarrasser de cette m***???

Narco!4 · Answer

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

Nic00 · Answer

Salut,

j'ai fait tout ce qui etait preconise, Hijackthis, Malware bytes, Smitfraudx, Combofix et j'en passe

-->ne passe pas pleins d'outils non approprié à ton problème!
Tu risques d'empirer la situation si ils sont mal utilisés et tu pourras alors t'en prendre qu'à toi même.

Fais ceci:

&#9654; Télécharge random's system information tool (RSIT) 
http://images.malwareremoval.com/random/RSIT.exe
&#9654;Enregistre le sur ton Bureau
&#9654; Double clique sur RSIT.exe pour l’exécuter. 
&#9654; Clique sur "continue" à l'écran Disclaimer. 
&#9654; Si l'outil HIjackThis  n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu n’auras qu’à  accepter la licence. 
&#9654; Une fois le scan terminé , 2 rapports vont apparaitre. 
&#9654; Poste les dans ton prochain message 
&#9654; Note : les rapports se trouvent aussi ici : ( log.txt & info.txt )
&#9654;Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm

l'helpeur · Answer

Deja, si tu as la barre d'outils google, tu peux bloquer les fenetres publicitaires intempestives. Si tu ne l'as pas, cela peux venir d'un logiciel installée sur ton ordinateur (du style : Eorezo). Peux tu me dire l'adresse qui apparait pendant le chargement de la page ? juste le debut.

anonymX · Answer

Desactiver le service d'affichage des messages
Demarrer => executer => services.msc et arreter puis desactiver le service appelé "Service d'affichage des messages" et ne toucher à rien d'autre si tu ne connais pas 
description: Envoie et reçoit les messages des services d'alertes entre les clients et les serveurs. Ce service n'est pas lié à Windows Messenger. Si ce service est arrêté, les messages d'alertes ne seront pas transmis. Si ce service est désactivé, les services qui en dépendent ne pourront pas démarrer.

bidochon1989 · Answer

J'ai deja fait tout ce qui a ete demande des dizaines de fois..

l'helpeur · Answer

Peux tu me dire les programmes que tu as installée récemment ?

chimay8 · Answer

Salut,
Hijackthis, Malware bytes, Smitfraudx, Combofix
bref,t'essaye sans trop savoir ce que ça donne...

si tu postais le rapport demandé au poste 1!?

chimay8 · Answer

ah bon?
rien qu'un survolant ton log je vois une infection par support amovibles!

l'helpeur · Answer

Bidochon ! Dis moi les  logiciels installé récemment !

chimay8 · Answer

Télécharge et installe ==>UsbFix<== de "C,C,C"

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

# Double-clique sur le raccourci UsbFix présent sur ton bureau .

# Choisis l'option 1 ( Recherche )

# Laisse travailler l'outil...

# Ensuite,poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est,en outre,sauvegardé à la racine du disque. ( C:\UsbFix.txt )


# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un malware, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Nic00 · Answer

*EDIT*

J'avais pas vu que t'avais déjà posté pour usbfix chimay  ;-)

l'helpeur · Answer

Je ne connais pas les logiciels Hijack this et autres donc je ne pourrais pas dechiffrer une seule ligne ...

Nic00 · Answer

Salut l'helpeur,

on a pas besoin d'être 50 pour désinfecter une personne, si en + tu n'y connais pas grand chose en Hijackthis et que tu veux aider je te conseil de suivre une formation.

Je sors.

++

l'helpeur · Answer

Essaye de vider tes cookies internet. Si tu as un cookie traçeur ( ce qui doit etre le cas ) il faut que tu le supprime !

bidochon1989 · Answer

j'attends la fin du rapport d'usbfix, seulement 30% pour le moment

bidochon1989 · Answer

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\iPod Access for Windows\iPAHelper.exe
C:\WINDOWS\system32\lxdxcoms.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{8990566e-3e05-11dc-baaa-000c76b53096}
Shell\Auto\command =AdobeR.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\florent\Bureau\CopyTrans_Suite_v1.02_(con serial_funciona)\CopyTrans_Suite_v1.02\CopyTrans_Suite_v1.02.exe"  
27/04/2007 18:57 |Size : 7289890 |Crc32 : daadb715 |Md5 : d74e7ad67f6f0a97192313e4fb96953d  
 


################## | ! Fin du rapport # UsbFix V6.010 ! |

bidochon1989 · Answer

super ca change absolument pas des rapports que j'ai pu faire avec les autres

chimay8 · Answer

heuu!
HKCU\..\..\Explorer\MountPoints2\{8990566e-3e05-11dc-baaa-000c76b53096} 
Shell\Auto\command =AdobeR.exe e 
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

maintenant,si tu penses que je suis pas en mesure de t'aider,ça peut s'arranger...
regarde

[sorti]

bidochon1989 · Answer

c'est gentil de vouloir m'aider mais je ne cherche pas a desinfecter mon pc de toutes les merdes qu'on peut choper 
pour le moment je cherche juste a supprimer le virus qui me redirige sur des pubs, "wareout" pour le nom, d'apres ce que j'ai lu

chimay8 · Answer

je ne cherche pas a desinfecter mon pc de toutes les merdes qu'on peut choper
ça veut dire quoi?
que t'as envie de rester avec des crasses qui pompent ta bande passante ou qui spam la terre entière?
t'es un mec sympa toi,chaque fois que tu colles ta clé usb qq part tu balances un trojan...mais apparament tu t'en fous...!!

du wareout?
où ça?
tu peux me montrer ou tu vois une infection wareout dans le log?

Krapsman · Answer

Eh bé, quel topic virulent!!!

Restons zen les mecs!
Le bidochon, on est pas là pour se poiler!! Et si t'es venu sur ce forum c'était, je pense, parceque tu n'arrivait pas à résoudre ton problème tout seul alors écoute un peu ce que te dit chimay et les choses se feront étapes par étapes...

Elle va finir par marcher ta connexion internet!!

Nic00 · Answer

Bon bidochon, tu suis ce qu'on te dis et tu évites de critiquer le travail de ceux qui sont là pour t'aider.
Si t'es si malin pourquoi es tu venu ici...

Si tu veux avancer fais ceci (et rien d'autre, tu fais juste ce qu'on te demande c'est pas compliqué si ?)

 /!\Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option F pour français et tape sur [entrée] .

• Au second menu Choisis l'option 2  (Suppression) et tape sur [entrée]  

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.(C:\UsbFix.txt) 

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller)

bidochon1989 · Answer

en cherchant sur le net la description du wareout ca correspondait en tous points a ce que j'avais, les autres infections etaient un peu differentes (recherche possible en cliquant plusieurs fois sur le lien) de ce que j'ai, si tu penses que ca peut venir de ca pk pas

je recommence avec usbfix

Nic00 · Answer

oui tu passes à l'option 2 comme indiqué:
http://www.commentcamarche.net/forum/affich 13503362 pub intempestive google?page=2#30

bidochon1989 · Answer

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\iPod Access for Windows\iPAHelper.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\lxdxcoms.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | All Drives ... |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{8990566e-3e05-11dc-baaa-000c76b53096}\Shell\Auto\Command  

################## | Listing des fichiers présent |

[28/06/2007 17:05|--a------|0] -> C:\AUTOEXEC.BAT 
[05/08/2008 15:19|-rahs----|212] -> C:\boot.ini 
[28/08/2001 14:00|-rahs----|4952] -> C:\Bootfont.bin 
[23/07/2009 12:04|--a------|585] -> C:\Bug.txt 
[19/08/2008 17:05|--a------|8927736] -> C:\CIMG7916.AVI 
[19/08/2008 17:07|--a------|7778952] -> C:\CIMG7917.AVI 
[21/08/2008 15:45|--a------|11848952] -> C:\CIMG7993.AVI 
[28/06/2007 17:05|--a------|0] -> C:\CONFIG.SYS 
[05/08/2008 14:50|--a------|2084] -> C:\error.log 
[28/06/2007 17:05|-rahs----|0] -> C:\IO.SYS 
[26/10/2008 10:52|--a------|1584] -> C:\logi.log 
[21/06/2009 11:47|--a------|1380] -> C:\moduleName.txt 
[28/06/2007 17:05|-rahs----|0] -> C:\MSDOS.SYS 
[05/07/2007 15:08|-rahs----|47564] -> C:\NTDETECT.COM 
[05/07/2007 15:08|-rahs----|251712] -> C:
tldr 
[29/02/2004 17:44|--a------|52576] -> C:\orange.bmp 
[?|?|?] -> C:\pagefile.sys 
[22/07/2009 10:55|--a------|4508] -> C:apport.txt 
[24/03/2009 15:14|--ah-----|268] -> C:\sqmdata00.sqm 
[15/02/2009 01:01|--ah-----|268] -> C:\sqmdata01.sqm 
[16/02/2009 23:39|--ah-----|268] -> C:\sqmdata02.sqm 
[18/02/2009 23:44|--ah-----|268] -> C:\sqmdata03.sqm 
[19/02/2009 21:50|--ah-----|268] -> C:\sqmdata04.sqm 
[20/02/2009 23:59|--ah-----|268] -> C:\sqmdata05.sqm 
[21/02/2009 23:52|--ah-----|268] -> C:\sqmdata06.sqm 
[22/02/2009 22:48|--ah-----|268] -> C:\sqmdata07.sqm 
[23/02/2009 21:57|--ah-----|268] -> C:\sqmdata08.sqm 
[24/02/2009 20:13|--ah-----|268] -> C:\sqmdata09.sqm 
[25/02/2009 23:46|--ah-----|268] -> C:\sqmdata10.sqm 
[26/02/2009 22:42|--ah-----|268] -> C:\sqmdata11.sqm 
[27/02/2009 22:45|--ah-----|268] -> C:\sqmdata12.sqm 
[01/03/2009 23:10|--ah-----|268] -> C:\sqmdata13.sqm 
[02/03/2009 22:16|--ah-----|268] -> C:\sqmdata14.sqm 
[04/03/2009 23:00|--ah-----|268] -> C:\sqmdata15.sqm 
[06/03/2009 22:18|--ah-----|268] -> C:\sqmdata16.sqm 
[09/03/2009 14:49|--ah-----|268] -> C:\sqmdata17.sqm 
[09/03/2009 15:31|--ah-----|172] -> C:\sqmdata18.sqm 
[09/03/2009 15:33|--ah-----|268] -> C:\sqmdata19.sqm 
[24/03/2009 15:14|--ah-----|244] -> C:\sqmnoopt00.sqm 
[15/02/2009 01:01|--ah-----|244] -> C:\sqmnoopt01.sqm 
[16/02/2009 23:39|--ah-----|244] -> C:\sqmnoopt02.sqm 
[18/02/2009 23:44|--ah-----|244] -> C:\sqmnoopt03.sqm 
[19/02/2009 21:50|--ah-----|244] -> C:\sqmnoopt04.sqm 
[20/02/2009 23:59|--ah-----|244] -> C:\sqmnoopt05.sqm 
[21/02/2009 23:52|--ah-----|244] -> C:\sqmnoopt06.sqm 
[22/02/2009 22:48|--ah-----|244] -> C:\sqmnoopt07.sqm 
[23/02/2009 21:57|--ah-----|244] -> C:\sqmnoopt08.sqm 
[24/02/2009 20:13|--ah-----|244] -> C:\sqmnoopt09.sqm 
[25/02/2009 23:46|--ah-----|244] -> C:\sqmnoopt10.sqm 
[26/02/2009 22:42|--ah-----|244] -> C:\sqmnoopt11.sqm 
[27/02/2009 22:45|--ah-----|244] -> C:\sqmnoopt12.sqm 
[01/03/2009 23:10|--ah-----|244] -> C:\sqmnoopt13.sqm 
[02/03/2009 22:16|--ah-----|244] -> C:\sqmnoopt14.sqm 
[04/03/2009 23:00|--ah-----|244] -> C:\sqmnoopt15.sqm 
[06/03/2009 22:18|--ah-----|244] -> C:\sqmnoopt16.sqm 
[09/03/2009 14:49|--ah-----|244] -> C:\sqmnoopt17.sqm 
[09/03/2009 15:31|--ah-----|172] -> C:\sqmnoopt18.sqm 
[09/03/2009 15:33|--ah-----|244] -> C:\sqmnoopt19.sqm 
[05/08/2008 15:59|--a------|2359350] -> C:	est disque dur.bmp 
[23/07/2009 16:55|--a------|5399] -> C:\UsbFix.txt 
[01/06/2008 12:55|--a------|14745654] -> C:\Wallpaper1.bmp 
[05/08/2008 11:59|--a------|395329] -> C:\Wallpaper1.JPG 

################## | Vaccination |

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\florent\Bureau\CopyTrans_Suite_v1.02_(con serial_funciona)\CopyTrans_Suite_v1.02\CopyTrans_Suite_v1.02.exe"  
27/04/2007 18:57 |Size : 7289890 |Crc32 : daadb715 |Md5 : d74e7ad67f6f0a97192313e4fb96953d  
 
"C:\Documents and Settings\florent\Bureau\Google Earth Pro v.4.1.7087 + Crack_DnGnMsTr\Google Earth Pro v.4.1.7087 + Crack_DnGnMsTr\GoogleEarthWinProSetup.exe"  
08/06/2007 06:22 |Size : 20924632 |Crc32 : d8107292 |Md5 : 6cd1ce55af7c39d30c119ac10ab7397e  
 
"C:\Documents and Settings\florent\Bureau\Google Earth Pro v.4.1.7087 + Crack_DnGnMsTr\Google Earth Pro v.4.1.7087 + Crack_DnGnMsTr\Crack\crc4.1.7087pro.exe"  
08/06/2007 06:33 |Size : 2473789 |Crc32 : 0e23545c |Md5 : 748a3a9804e5697babbcbd3de1f27631  
 

################## | ! Fin du rapport # UsbFix V6.010 ! |

chimay8 · Answer

tu as toujours le rapport de combofix?
poste le stp

bidochon1989 · Answer

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\config.ini
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\drivers\UACmelitsoklmxddxglm.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32	mp.reg
c:\windows\system32\UACbnfwdpitnxrrnwxax.dat
c:\windows\system32\UACgsipwmirvdhhdnppf.dll
c:\windows\system32\UACidcoxvjovbkroxnao.db
c:\windows\system32\uacinit.dll
c:\windows\system32\UACmkxrtveohdikytgtx.dll
c:\windows\system32\UACnlanisohvctmnagct.dll
c:\windows\system32\UACtqmyrgoedpxsppjyo.dll
c:\windows\system32\UACuuepmaejepyouwpuj.dll
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys
-------\Legacy_6TO4
-------\Legacy_USBWTE
-------\Service_6to4


(((((((((((((((((((((((((   Files Created from 2009-06-24 to 2009-07-24  )))))))))))))))))))))))))))))))
.

2009-07-24 06:28 . 2009-07-24 06:30	--------	d-s---w-	C:at
2009-07-24 06:24 . 2009-07-24 06:25	--------	d-----w-	C:\fran
2009-07-23 10:54 . 2009-07-23 15:00	--------	d-----w-	C:\UsbFix
2009-07-23 10:35 . 2009-07-23 10:35	--------	d-----w-	C:sit
2009-07-23 10:28 . 2009-07-23 10:28	--------	d-----w-	C:\GenProc
2009-07-22 09:35 . 2009-07-22 09:35	--------	d-----w-	c:\documents and settings\florent\Application Data\Malwarebytes
2009-07-22 09:33 . 2009-07-22 09:35	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-07-22 08:43 . 2009-07-13 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 08:43 . 2009-07-22 08:43	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2009-07-22 08:43 . 2009-07-13 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-22 08:18 . 2009-07-22 08:18	--------	d-----w-	c:\program files\Trend Micro
2009-07-21 10:39 . 2009-07-21 10:39	--------	d-----w-	c:\documents and settings\emilien\Local Settings\Application Data\Mozilla
2009-07-17 08:50 . 2009-07-17 08:50	0	----a-w-	c:\windows
sreg.dat
2009-07-17 08:50 . 2009-07-17 08:50	--------	d-----w-	c:\documents and settings\florent\Local Settings\Application Data\Mozilla
2009-07-16 16:40 . 2009-07-17 09:11	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\13565934
2009-07-14 20:27 . 2001-08-23 15:47	5632	----a-w-	c:\windows\system32\ptpusb.dll
2009-07-14 20:27 . 2004-08-19 14:09	159232	----a-w-	c:\windows\system32\ptpusd.dll
2009-06-28 11:33 . 2009-07-17 19:49	--------	d-----w-	c:\documents and settings\Marie 2\Tracing

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-23 15:01 . 2001-08-28 12:00	71596	----a-w-	c:\windows\system32\perfc00C.dat
2009-07-23 15:01 . 2001-08-28 12:00	458562	----a-w-	c:\windows\system32\perfh00C.dat
2009-07-23 12:58 . 2007-06-28 15:46	--------	d-----w-	c:\program files\Wanadoo
2009-07-23 07:31 . 2009-03-25 13:50	--------	d-----w-	c:\program files\Microsoft Silverlight
2009-07-22 08:24 . 2009-01-07 09:43	--------	d-----w-	c:\program files\ma-config.com
2009-07-16 19:51 . 2007-10-14 09:36	--------	d-----w-	c:\documents and settings\emilien\Application Data\BitTorrent
2009-07-15 10:05 . 2007-06-28 16:59	--------	d-----w-	c:\program files\eMule
2009-07-14 20:28 . 2007-07-12 17:03	--------	d-----w-	c:\documents and settings\florent\Application Data\Apple Computer
2009-07-02 08:56 . 2008-08-04 14:33	335752	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2009-07-01 12:42 . 2009-05-15 12:58	--------	d-----w-	c:\documents and settings\florent\Application Data\uTorrent
2009-07-01 12:38 . 2009-05-15 12:58	--------	d-----w-	c:\program files\uTorrent
2009-06-28 11:33 . 2008-01-14 18:09	14768	----a-w-	c:\documents and settings\Marie 2\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-21 13:06 . 2009-06-10 11:59	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\AVG Security Toolbar
2009-06-18 11:51 . 2008-08-04 14:33	27784	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2009-06-16 14:54 . 2001-08-28 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:54 . 2001-08-28 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-10 11:59 . 2009-06-10 11:59	--------	d-----w-	c:\documents and settings\LocalService\Application Data\AVGTOOLBAR
2009-06-03 19:27 . 2007-06-28 15:25	1296896	----a-w-	c:\windows\system32\quartz.dll
2009-05-15 12:56 . 2007-06-29 07:47	14768	-c--a-w-	c:\documents and settings\florent\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-07 15:43 . 2001-08-28 12:00	347136	----a-w-	c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2001-08-28 12:00	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2007-07-05 13:11	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-04-25 08:18 . 2008-08-04 14:33	11952	----a-w-	c:\windows\system32\avgrsstx.dll
2009-04-25 08:18 . 2008-08-04 14:33	12552	----a-w-	c:\windows\system32\drivers\avgrkx86.sys
2009-04-25 08:17 . 2008-08-04 14:33	108552	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2008-10-31 22:24 . 2009-07-17 08:42	134656	----a-w-	c:\program files\mozilla firefox\components\brwsrcmp.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-26 1008896]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-06-26 08:37	1008896	----a-w-	c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-26 1008896]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-06-10 1948440]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"lxdxmon.exe"="c:\program files\Lexmark 3600-4600 Series\lxdxmon.exe" [2008-03-20 668328]
"lxdxamon"="c:\program files\Lexmark 3600-4600 Series\lxdxamon.exe" [2008-03-20 16040]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2008-03-20 320168]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
2009-04-25 08:18	11952	----a-w-	c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\Program Files\Sony\IMAGE CONVERTER 3\ImageConverter3.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Team17\Worms 2\Frontend.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\Azureus\Azureus.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\AVG\AVG8\avgemc.exe"=
"c:\Program Files\AVG\AVG8\avgupd.exe"=
"c:\Program Files\AVG\AVG8\avgnsx.exe"=
"c:\Program Files\Wanadoo\WOOBrowser\WOOBrowser.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\lxdxcoms.exe"=
"c:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"=
"c:\Program Files\Lexmark 3600-4600 Series\frun.exe"=
"c:\Program Files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe"=
"c:\Program Files\Lexmark Fax Solutions\FaxCtr.exe"=
"c:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxpswx.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxtime.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxjswx.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"62459:TCP"= 62459:TCP:*:Disabled:emule tcp
"22200:UDP"= 22200:UDP:*:Disabled:emule udp

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [04/08/2008 16:33 12552]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [04/08/2008 16:33 335752]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [04/08/2008 16:33 108552]
R2 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [08/01/2009 16:28 907032]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [08/01/2009 16:28 298776]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [25/03/2009 15:49 55152]
R2 LANPkt;Realtek LANPkt Protocol;c:\windows\system32\drivers\LANPkt.sys [28/06/2007 17:19 8440]
R2 lxdx_device;lxdx_device;c:\windows\system32\lxdxcoms.exe -service --> c:\windows\system32\lxdxcoms.exe -service [?]
S2 lxdxCATSCustConnectService;lxdxCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdxserv.exe [13/09/2008 08:41 98984]
S2 zyhkprj;zyhkprj;c:\windows\system32\drivers\vtbfeov.sys --> c:\windows\system32\drivers\vtbfeov.sys [?]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
S3 ICScsiSV;Image Converter SCSI Service;c:\program files\Sony\IMAGE CONVERTER 3\ICScsiSV.exe [06/07/2007 10:53 75952]
S3 IcVzMonLauncher;IcVzMonLauncher;c:\program files\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe [06/07/2007 10:53 67760]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [19/12/2008 17:54 195752]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
IE: { - c:\program files\Messenger\msmsgs.exe
FF - ProfilePath - c:\docume~1\florent\APPLIC~1\Mozilla\Firefox\Profiles\0orqvxbt.default\
FF - prefs.js: browser.search.selectedEngine - xeoo.com
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://xeoo.com/?p=url&a=firefox&k=
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-24 08:58
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(596)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2464)
c:\windows\System32\Audiodev.dll
c:\windows\System32\WMVCore.DLL
c:\windows\System32\WMASF.DLL
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Lexmark 3600-4600 Series\lxdxmsdmon.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
c:\progra~1\AVG\AVG8\avgam.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\windows\system32\FTRTSVC.exe
c:\program files\iPod Access for Windows\iPAHelper.exe
c:\windows\system32\lxdxcoms.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\system32\wdfmgr.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\windows\system32\wscntfy.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
.
**************************************************************************
.
Completion time: 2009-07-24  9:04 - machine was rebooted
ComboFix-quarantined-files.txt  2009-07-24 07:04

Pre-Run: 27 888 988 160 octets libres
Post-Run: 28 398 751 744 octets libres

225	--- E O F ---	2009-07-22 19:42




si ca peut apporter qqchose: j'ai du changer le nom de combofix pour pouvoir l'executer

chimay8 · Answer

re,
j'ai du changer le nom de combofix pour pouvoir l'executer
oui,tu avais une infection rootkitée qui empêche combofix de démarrer

pour tes redirections,j'ai trouvé;
c'est ça: xeoo.com

donc on va rechercher les traces dans le registre

==> Télécharge OAD http://sosvirus.changelog.fr/OAD.exe
- Enregistre le sur ton bureau

Double clique sur OAD pour le lancer

- nom de fichier à rechercher tape ou fais un copier/coller de : xeoo
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il ai terminé.
Le rapport de recherche s'affichera automatiquement dès qu'il aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain poste.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

Krapsman · Answer

Salut tlm,

Bah voilà bidochon tu vois, tout vient à point à qui sait attendre!!!
Ton problème sera bientot résolu!!

Ptite question Chimay, comment apprendre à lire un rapport ComboFix?
Pasque le xeoo fallait le voir...

++

bidochon1989 · Answer

il ne trouve pas

----------------------------------
§§§§§§ [xeoo] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************

Aucune entrée détectée

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

chimay8 · Answer

comment apprendre à lire un rapport ComboFix?
ouïlle...ça c'est plus compliqué;en fait tout est noté dans le rapport(voir les titres)
puis après,c'est une connaissance des clés de registre...mais bon,ça viens avec l'expérience
je te conseille plutôt de commencer avec les autres tools que d'essayer de comprendre directement combofix
c'est d'ailleurs un outil dangereux!

Krapsman · Answer

Dangereux?
Quels sont les risques à son utilisation?

chimay8 · Answer

mer**,c'est la guigne ça!

on va tenter qq chose(mais je suis pas sur que cela va fonctionné!)

Copie le texte ci-dessous :

Firefox::
FF - ProfilePath - c:\docume~1\florent\APPLIC~1\Mozilla\Firefox\Profiles\0orqvxbt.default\ 
FF - prefs.js: browser.search.selectedEngine - xeoo.com
FF - prefs.js: keyword.URL - hxxp://xeoo.com/?p=url&a=firefox&k=
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com"); 
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k="); 
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");


Ouvre le Bloc-Notes puis colle le texte copié. 
(Démarrer\Tous les programmes\Accessoires\Bloc notes.) 
Sauvegarde ce fichier sous le nom de CFScript.txt 

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci : 
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif 

Cela va relancer Combofix, 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis. 

S'il n'y a pas de rédémarrage, poste quand même les rapports.

Krapsman · Answer

Genre... ca peut nuire au fonctionnement du système d'exploitation en supprimant des fichiers systèmes nécessaires?

Mmmh, cela ammène une autre question:

Comment etre sur en l'utilisant qu'il va pas nuire à l'OS? Je veux dire par là, c'est complètement aléatoire ou ca dépend de l'infection? Il peut confondre des fichiers systèmes ou des clés du registres avec des fichiers vérolés?
Il n'existe pas un tuto de comboFix? (pour éviter de trop t'embéter)

Bon en fait ca fait pleins de questions mais ca m'interesse!!

bidochon1989 · Answer

je n'ai pas eu a taper 1 pour combofix

(((((((((((((((((((((((((   Files Created from 2009-06-24 to 2009-07-24  )))))))))))))))))))))))))))))))
.

2009-07-24 06:28 . 2009-07-24 06:30	--------	d-s---w-	C:at
2009-07-24 06:24 . 2009-07-24 06:25	--------	d-----w-	C:\fran
2009-07-23 10:54 . 2009-07-23 15:00	--------	d-----w-	C:\UsbFix
2009-07-23 10:35 . 2009-07-23 10:35	--------	d-----w-	C:sit
2009-07-23 10:28 . 2009-07-23 10:28	--------	d-----w-	C:\GenProc
2009-07-22 09:35 . 2009-07-22 09:35	--------	d-----w-	c:\documents and settings\florent\Application Data\Malwarebytes
2009-07-22 09:33 . 2009-07-22 09:35	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-07-22 08:43 . 2009-07-13 11:36	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-22 08:43 . 2009-07-22 08:43	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\Malwarebytes
2009-07-22 08:43 . 2009-07-13 11:36	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-22 08:18 . 2009-07-22 08:18	--------	d-----w-	c:\program files\Trend Micro
2009-07-21 10:39 . 2009-07-21 10:39	--------	d-----w-	c:\documents and settings\emilien\Local Settings\Application Data\Mozilla
2009-07-17 08:50 . 2009-07-17 08:50	0	----a-w-	c:\windows
sreg.dat
2009-07-17 08:50 . 2009-07-17 08:50	--------	d-----w-	c:\documents and settings\florent\Local Settings\Application Data\Mozilla
2009-07-16 16:40 . 2009-07-17 09:11	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\13565934
2009-07-14 20:27 . 2001-08-23 15:47	5632	----a-w-	c:\windows\system32\ptpusb.dll
2009-07-14 20:27 . 2004-08-19 14:09	159232	----a-w-	c:\windows\system32\ptpusd.dll
2009-06-28 11:33 . 2009-07-17 19:49	--------	d-----w-	c:\documents and settings\Marie 2\Tracing

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-23 15:01 . 2001-08-28 12:00	71596	----a-w-	c:\windows\system32\perfc00C.dat
2009-07-23 15:01 . 2001-08-28 12:00	458562	----a-w-	c:\windows\system32\perfh00C.dat
2009-07-23 12:58 . 2007-06-28 15:46	--------	d-----w-	c:\program files\Wanadoo
2009-07-23 07:31 . 2009-03-25 13:50	--------	d-----w-	c:\program files\Microsoft Silverlight
2009-07-22 08:24 . 2009-01-07 09:43	--------	d-----w-	c:\program files\ma-config.com
2009-07-16 19:51 . 2007-10-14 09:36	--------	d-----w-	c:\documents and settings\emilien\Application Data\BitTorrent
2009-07-15 10:05 . 2007-06-28 16:59	--------	d-----w-	c:\program files\eMule
2009-07-14 20:28 . 2007-07-12 17:03	--------	d-----w-	c:\documents and settings\florent\Application Data\Apple Computer
2009-07-02 08:56 . 2008-08-04 14:33	335752	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2009-07-01 12:42 . 2009-05-15 12:58	--------	d-----w-	c:\documents and settings\florent\Application Data\uTorrent
2009-07-01 12:38 . 2009-05-15 12:58	--------	d-----w-	c:\program files\uTorrent
2009-06-28 11:33 . 2008-01-14 18:09	14768	----a-w-	c:\documents and settings\Marie 2\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-06-21 13:06 . 2009-06-10 11:59	--------	d-----w-	c:\docume~1\ALLUSE~1\APPLIC~1\AVG Security Toolbar
2009-06-18 11:51 . 2008-08-04 14:33	27784	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2009-06-16 14:54 . 2001-08-28 12:00	82432	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:54 . 2001-08-28 12:00	119808	----a-w-	c:\windows\system32	2embed.dll
2009-06-10 11:59 . 2009-06-10 11:59	--------	d-----w-	c:\documents and settings\LocalService\Application Data\AVGTOOLBAR
2009-06-03 19:27 . 2007-06-28 15:25	1296896	----a-w-	c:\windows\system32\quartz.dll
2009-05-15 12:56 . 2007-06-29 07:47	14768	-c--a-w-	c:\documents and settings\florent\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-07 15:43 . 2001-08-28 12:00	347136	----a-w-	c:\windows\system32\localspl.dll
2009-04-29 04:45 . 2001-08-28 12:00	827392	----a-w-	c:\windows\system32\wininet.dll
2009-04-29 04:45 . 2007-07-05 13:11	78336	----a-w-	c:\windows\system32\ieencode.dll
2008-10-31 22:24 . 2009-07-17 08:42	134656	----a-w-	c:\program files\mozilla firefox\components\brwsrcmp.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-26 1008896]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-06-26 08:37	1008896	----a-w-	c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG8\Toolbar\IEToolbar.dll" [2009-06-26 1008896]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-06-10 1948440]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-06-29 286720]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"lxdxmon.exe"="c:\program files\Lexmark 3600-4600 Series\lxdxmon.exe" [2008-03-20 668328]
"lxdxamon"="c:\program files\Lexmark 3600-4600 Series\lxdxamon.exe" [2008-03-20 16040]
"FaxCenterServer"="c:\program files\Lexmark Fax Solutions\fm3032.exe" [2008-03-20 320168]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
2009-04-25 08:18	11952	----a-w-	c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\Program Files\Sony\IMAGE CONVERTER 3\ImageConverter3.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Team17\Worms 2\Frontend.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\Program Files\Azureus\Azureus.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\Program Files\AVG\AVG8\avgemc.exe"=
"c:\Program Files\AVG\AVG8\avgupd.exe"=
"c:\Program Files\AVG\AVG8\avgnsx.exe"=
"c:\Program Files\Wanadoo\WOOBrowser\WOOBrowser.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\system32\lxdxcoms.exe"=
"c:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"=
"c:\Program Files\Lexmark 3600-4600 Series\frun.exe"=
"c:\Program Files\Abbyy FineReader 6.0 Sprint\Scan\ScanMan6.exe"=
"c:\Program Files\Lexmark Fax Solutions\FaxCtr.exe"=
"c:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxpswx.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxtime.exe"=
"c:\WINDOWS\system32\spool\drivers\w32x86\3\lxdxjswx.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"62459:TCP"= 62459:TCP:*:Disabled:emule tcp
"22200:UDP"= 22200:UDP:*:Disabled:emule udp

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [04/08/2008 16:33 12552]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [04/08/2008 16:33 335752]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [04/08/2008 16:33 108552]
R2 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [08/01/2009 16:28 907032]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [08/01/2009 16:28 298776]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [25/03/2009 15:49 55152]
R2 LANPkt;Realtek LANPkt Protocol;c:\windows\system32\drivers\LANPkt.sys [28/06/2007 17:19 8440]
R2 lxdx_device;lxdx_device;c:\windows\system32\lxdxcoms.exe -service --> c:\windows\system32\lxdxcoms.exe -service [?]
S2 lxdxCATSCustConnectService;lxdxCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\lxdxserv.exe [13/09/2008 08:41 98984]
S2 zyhkprj;zyhkprj;c:\windows\system32\drivers\vtbfeov.sys --> c:\windows\system32\drivers\vtbfeov.sys [?]
S3 fsssvc;Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 19:08 533360]
S3 ICScsiSV;Image Converter SCSI Service;c:\program files\Sony\IMAGE CONVERTER 3\ICScsiSV.exe [06/07/2007 10:53 75952]
S3 IcVzMonLauncher;IcVzMonLauncher;c:\program files\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe [06/07/2007 10:53 67760]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [19/12/2008 17:54 195752]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
IE: { - c:\program files\Messenger\msmsgs.exe
FF - ProfilePath - c:\docume~1\florent\APPLIC~1\Mozilla\Firefox\Profiles\0orqvxbt.default\
FF - prefs.js: browser.search.selectedEngine - xeoo.com
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://xeoo.com/?p=url&a=firefox&k=
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.current_page", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("pref.browser.homepage.disable_button.restore_default", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importBookmarksHTML", true);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.places.importDefaults", false);
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.search.selectedEngine", "xeoo.com");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
c:\program files\Mozilla Firefox\defaults\profile\prefs.js - user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-24 10:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(596)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2492)
c:\windows\System32\Audiodev.dll
c:\windows\System32\WMVCore.DLL
c:\windows\System32\WMASF.DLL
.
Completion time: 2009-07-24 10:42
ComboFix-quarantined-files.txt  2009-07-24 08:42
ComboFix2.txt  2009-07-24 07:04

Pre-Run: 28 414 951 424 octets libres
Post-Run: 28 401 852 416 octets libres

173	--- E O F ---	2009-07-22 19:42







Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:45:46, on 24/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\iPod Access for Windows\iPAHelper.exe
C:\WINDOWS\system32\lxdxcoms.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [lxdxmon.exe] "C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"
O4 - HKLM\..\Run: [lxdxamon] "C:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Image Converter SCSI Service (ICScsiSV) - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\ICScsiSV.exe
O23 - Service: IcVzMonLauncher - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\IcVzMonLauncher.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Image Converter video recording monitor for VAIO Entertainment - Sony Corporation - C:\Program Files\Sony\IMAGE CONVERTER 3\IcVzMon.exe
O23 - Service: iPAHelper.exe - Unknown owner - C:\Program Files\iPod Access for Windows\iPAHelper.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxdxCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdxserv.exe
O23 - Service: lxdx_device -   - C:\WINDOWS\system32\lxdxcoms.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Fichiers communs\PCSuite\Services\ServiceLayer.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe

chimay8 · Answer

c'est le seul tuto autorisé
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

chimay8 · Answer

ça a pas marché!

on va essayé de trouver les clé néfastes

Télécharge OTL de OLDTimer ici : 

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ 

et enregistre le sur ton Bureau. 

Double clic sur OTL.exe pour le lancer. 

Coche les 2 cases Lop et Purity 

Coche la case devant "scan all users" 

Clic sur Run Scan. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 


Pour me le transmettre clique sur ce lien : 

http://www.cijoint.fr/ 

Clique sur Parcourir et cherche le fichier ci-dessus. 

Clique sur Ouvrir. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.


*****************************************************

bidochon1989 · Answer

http://www.cijoint.fr/cjlink.php?file=cj200907/cijMYf0DRw.txt

Krapsman · Answer

Re, 

Merci pour le lien, plutot interessant même si il n'y a rien sur le déchiffrage du rapport...
J'ai vu dans le tuto que CCM ne faisait pas parti des forums compétents pour utiliser ce logiciel ou plutot pour l'analyser, pas cool hein...

++

chimay8 · Answer

que dalle...

regarde ici,c'est le même problème que toi!
https://forum.pcastuces.com/sujet.asp?f=1&s=160633

apparement,tu as installé un mauvais Firefox(avec des bonus)
essaye de suivre ce qu'ils disent sur le lien et tiens moi au courant!

bidochon1989 · Answer

effectivement ca marche!! (pour le moment, je croise les doigts), ce que j'ai du mal a comprendre c'est que firefox je l'avais installe justement a cause de ce probleme; je voulais voir si avec lui ca le faisait aussi mais sinon j'utilisais internet explorer et je n'avais pas encore firefox bref je sais pas ce qu'il s'est passe mais ca remarche 
merci d'avoir pris du temps pour mon probleme, j'espere que ca sera utile a d'autres, bonne journee et encore merci!

chimay8 · Answer

attends,pas fini

Télécharge ToolsCleaner sur ton bureau. 
--> 
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

# Clique sur "Recherche" et laisse le scan agir ... 
# Clique sur "Suppression" pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

ensuite

Télécharges : - CCleaner (n'installe pas la barre d'outil Yahoo)
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première. 
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ). 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

---> Utilisation: 
! déconnectes toi et fermes toutes applications en cours ! 
* vas dans "nettoyeur" : fait analyse puis nettoyage 
* vas dans "registre" : fait chercher les erreurs et réparer ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

***très important***

Suppression des points de restauration : 
1.Ouvre le Menu Démarrer 
2.Clique-droit sur Poste de travail 
3.Clique sur Propriétés 
4.Positionne-toi dans l'onglet Restauration du système 
5.Coche "Désactiver la restauration système" 
6.Valide par Ok 
7.Redémarre ton pc
8.Reproduis les manipulations 1 à 3 
9.Décoche "Désactiver la restauration système" 
10.Valide par Ok

sous vista
https://www.01net.com/actualites/
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista


Ne pas oublier de créer un nouveau point de restauration en procédant comme indiqué sur le lien ci-dessous 

https://www.vulgarisation-informatique.com/creer-point-restauration.php

 
si tu n as pas d autres soucis change le statut du sujet en resolu stp

je ne peux que vous inciter à lire les liens ci-dessous

Prévention & Sécurité sur le net(Format pdf)
comment sécuriser son pc
pourquoi je suis infecté

bidochon1989 · Answer

[ Rapport ToolsCleaner version 2.3.7 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\GenProc: trouvé !
C:\Qoobox: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\florent\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\florent\Bureau\OAD.exe: trouvé !
C:\Documents and Settings\florent\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\florent\Bureau\UsbFix.lnk: trouvé !
C:\Documents and Settings\florent\Bureau\Rsit.exe: trouvé !
C:\Documents and Settings\florent\Bureau\SmitFraudfix: trouvé !
C:\Documents and Settings\florent\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\florent\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\GenProc\outil\mbr.exe: trouvé !
C:\GenProc\Page\GenProc[*].html: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\florent\Bureau\HijackThis.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\florent\Bureau\OAD.exe: supprimé !
C:\Documents and Settings\florent\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\florent\Bureau\UsbFix.lnk: supprimé !
C:\Documents and Settings\florent\Bureau\Rsit.exe: supprimé !
C:\Documents and Settings\florent\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\GenProc\outil\mbr.exe: supprimé !
C:\GenProc\Page\GenProc[*].html: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\GenProc: supprimé !
C:\Qoobox: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\florent\Bureau\SmitFraudfix: supprimé !
C:\Documents and Settings\florent\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Pub intempestive google

43 réponses

Discussions similaires

Newsletters