Partager vos
astuces Bricolage
Posez votre question Signaler

PC encore infecté [Résolu]

Nickie72 61Messages postés 15 novembre 2008Date d'inscription 17 août 2011Dernière intervention - Dernière réponse le 13 nov. 2009 à 12:35
Bonjour,
Comme je n'arrivais à installer les mises à jour Microsoft, j'ai donc posté un message. Voilà le message d'erreur que j'avais :
"Mise à jour de sécurité pour Microsoft .NET Framework version 1.1 Service Pack 1 pour Windows 2000, Windows XP, Windows Vista,
Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB953297)"
L'un d'entre vous m'a aidé et j'ai donc supprimé Microsoft.Net Framework version 1.1 pour ne garder que la 3.5.
Sur son conseil j'ai lancé UsbFix et lors du lancement pour le nettoyage, il s'est arrêté sur ce message:
"Rootkit :nmdfgds3.dll
Le chemin d'acces spécifié est introuvable"
Voilà le rapport
############################## | UsbFix V6.045 |
User : Compaq_Propriétaire (Administrateurs) # NICKIE
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:19:34 | 28/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Lavasoft Ad-Watch Live! AntiVirus [ Enabled | Updated ]
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Pare-feu Online Armor[ Enabled ]3.0.0.190
C:\ -> Disque fixe local # 180,3 Go (119,42 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 5,99 Go (2,35 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
############################## | Processus actifs |
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Tall Emu\Online Armor\oacat.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
################## | Fichiers # Dossiers infectieux |
################## | Registre # Clés Run infectieuses |
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoViewContextMenu"
################## | Registre # Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{d9567cfa-6adc-11dd-ba7c-0040f494fb5f}\Shell\AutoRun\Command
################## | Listing des fichiers présent |
[28/10/2009 20:19|--a------|61372] C:\aaw7boot.log
[18/04/2009 17:01|--a------|707] C:\Ad-Report-Scan-18.04.2009.log
[23/11/2004 22:21|--a------|0] C:\AUTOEXEC.BAT
[14/06/2009 10:33|-rahs----|296] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[05/08/2004 13:00|-r-hs----|263488] C:\cmldr
[23/11/2004 22:21|--a------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[23/11/2004 22:21|-rahs----|0] C:\IO.SYS
[25/05/2009 19:50|--a------|5911] C:\JavaRa.log
[23/11/2004 22:21|-rahs----|0] C:\MSDOS.SYS
[16/10/2009 17:32|--a------|12288] C:\mtwb.dat
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[30/05/2008 16:05|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[23/04/2009 16:59|--a------|1569] C:\TB.txt
[28/10/2009 20:26|--a------|4008] C:\UsbFix.txt
[28/07/2001 07:07|---hs----|0] D:\AUTOEXEC.BAT
[23/11/2004 17:48|---hs----|6] D:\BLOCK.RIN
[09/01/2002 20:52|---hs----|244] D:\BOOT.INI
[17/08/2001 10:26|---hs----|237728] D:\CMLDR
[28/07/2001 07:07|---hs----|0] D:\CONFIG.SYS
[10/09/2002 00:14|---hs----|100] D:\Desktop.ini
[10/09/2002 17:21|---hs----|7850] D:\Folder.htt
[30/04/2001 21:16|---hs----|14] D:\Graph
[25/01/2002 19:21|---hs----|0] D:\GRAPH16
[30/11/2004 12:01|---hs----|73728] D:\Info.exe
[28/07/2001 07:07|---hs----|0] D:\IO.SYS
[28/07/2001 07:07|---hs----|0] D:\MSDOS.SYS
[25/07/2001 23:00|---hs----|45124] D:\NTDETECT.COM
[17/08/2001 16:32|---hs----|0] D:\NTFS
[25/07/2001 23:00|---hs----|222880] D:\NTLDR
[03/03/2003 13:46|---hs----|111377] D:\protect.ed
[23/11/2004 17:39|---hs----|36] D:\SaveFile.Dir
[30/04/2001 21:16|---hs----|14] D:\SVGA
[02/01/2005 19:24|--ahs----|942] D:\USER
[03/03/2003 13:41|---hs----|88038] D:\Warning.bmp
[18/08/2001 16:00|---hs----|10] D:\WIN51
[22/01/2001 16:00|---hs----|11] D:\WIN51.B2
[25/07/2001 16:00|---hs----|11] D:\WIN51.RC1
[25/07/2001 21:47|---hs----|11] D:\WIN51.RC2
[18/08/2001 16:00|---hs----|10] D:\WIN51IC
[20/03/2001 16:00|---hs----|11] D:\WIN51IC.B2
[25/07/2001 16:00|---hs----|11] D:\WIN51IC.RC1
[25/07/2001 16:00|---hs----|11] D:\WIN51IC.RC2
[17/08/2001 16:00|---hs----|10] D:\WIN51IP
[22/01/2001 16:00|---hs----|11] D:\WIN51IP.B2
[25/07/2001 21:47|---hs----|11] D:\WIN51IP.RC2
[17/08/2001 14:17|---hs----|184] D:\WINBOM.INI
[01/04/2006 10:09|-r-hs----|26] D:\RCBoot.sys
################## | Vaccination |
# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.
################## | Suspect | http://www.virustotal.com |
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # UsbFix V6.045 !
Merci de votre aide
Lire la suite 

PC encore infecté »

22 réponses
Réponse
+0
moins plus
Xplode 7764Messages postés 21 août 2009Date d'inscription 4 janvier 2012Dernière intervention 29 oct. 2009 à 17:14
Salut, fais ceci :

-+-+-+-> RootRepeal <-+-+-+-


[x] Télécharge RootRepeal

[x] Décompresse le sur ton bureau

[x] Double clique sur rootrepeal.exe ( Clique-droit -> Executer en tant qu'administrateur ( vista ) )

[x] Clique sur l'onglet " Report " puis sur " Scan "

[x] Coche toutes les cases dans la fenêtre qui s'ouvre puis sur " Ok "

[x] A la deuxième fenêtre, séléctionne ta partition système ( en général C: )

[x] Laisse le scan s'opérer, puis copie/colle le rapport qui s'ouvrira peut de temps après le scan dans ta prochaine réponse.

+ Ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau ( Clique droit -> Executer en tant qu'admin ( vista ) )

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

 Ajouter un commentaire
Nickie72 - 29 oct. 2009 à 17:38
Bonsoir

et merci de répondre si vite

dans un premier temps je t'envoie ce rapport et je fais le reste tout de suite

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/10/29 17:20
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF18E5000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7B56000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEE94A000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Messenger\minibton@hotmail.fr\SharingMetadata\maryetfab@hotmail.fr\DFSR\Staging\CS{D0E8E48F-5FCC-5461-D6CB-BA997BC1E4F5}\13\14-{4A~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.

SSDT
-------------------
#: 017 Function Name: NtAllocateVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab20f0

#: 019 Function Name: NtAssignProcessToJobObject
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab26e0

#: 031 Function Name: NtConnectPort
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1370

#: 037 Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee80

#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7c9a77e

#: 046 Function Name: NtCreatePort
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab11d0

#: 047 Function Name: NtCreateProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aaea10

#: 048 Function Name: NtCreateProcessEx
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aaede0

#: 050 Function Name: NtCreateSection
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aae520

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7c9a774

#: 057 Function Name: NtDebugActiveProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab07b0

#: 062 Function Name: NtDeleteFile
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abf9c0

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7c9a783

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7c9a78d

#: 071 Function Name: NtEnumerateKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee20

#: 073 Function Name: NtEnumerateValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee50

#: 097 Function Name: NtLoadDriver
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1bc0

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7c9a792

#: 116 Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abf5d0

#: 119 Function Name: NtOpenKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abd9a0

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7c9a760

#: 125 Function Name: NtOpenSection
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aae7a0

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7c9a765

#: 137 Function Name: NtProtectVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab2390

#: 160 Function Name: NtQueryKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abedc0

#: 177 Function Name: NtQueryValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abedf0

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7c9a79c

#: 200 Function Name: NtRequestWaitReplyPort
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1750

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7c9a797

#: 206 Function Name: NtResumeThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0e80

#: 207 Function Name: NtSaveKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abeda0

#: 213 Function Name: NtSetContextThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab05d0

#: 240 Function Name: NtSetSystemInformation
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0930

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7c9a788

#: 249 Function Name: NtShutdownSystem
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1ac0

#: 253 Function Name: NtSuspendProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1030
Bonsoir
et Merci de répondre si vite.

Dans un premier temps voici le rapport RootRepeal

#: 254 Function Name: NtSuspendThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0cb0

#: 255 Function Name: NtSystemDebugControl
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0b10

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf7c9a76f

#: 258 Function Name: NtTerminateThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0400

#: 262 Function Name: NtUnloadDriver
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1de0

#: 277 Function Name: NtWriteVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab2540

==EOF==
Nickie72 - 29 oct. 2009 à 17:48
Pour la suite
je n'ai pas pu lancé ZHPDiag. J'ai peut-être fait une mauvaise manip?

Message d'erreur :
"impossible de créer le fichier "C:\Progarm Files\ZHPDiag\ZHPDiag.txt. Accès refusé"
Il reste toujours avec le sablier
Nickie72 - 30 oct. 2009 à 11:48
Bonjour

Avant de m'absenter jusqu'à lundi, je colle le lien demandé.
J'espère que tu pourras y accéder

http://cjoint.com/?kElUPTNQMh
Ajouter un commentaire
Réponse
+0
moins plus
Nickie72 61Messages postés 15 novembre 2008Date d'inscription 17 août 2011Dernière intervention 2 nov. 2009 à 18:26
Bonsoir

De retour de week end

Je pense que le lien que je t'ai mis ne fonctionne pas car j'ai le message suivant:
"Impossible d'effectuer cette opération car le client de courrier électronique par défaut n'est pas installé correctement"
Que doit-je faire?

Excuses moi mais je ne connais pas trop donc...

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Xplode 7764Messages postés 21 août 2009Date d'inscription 4 janvier 2012Dernière intervention 2 nov. 2009 à 18:55
Oui, le lien n'est pas valide..

Suis bien les indications que je t'ai donné dans ma première réponse. Il faut que tu heberges le fichier ZHPDiag.txt sur cjoint et que tu copie/colle le lien qui se trouve après " le lien à été créé : [ lien ] "

 Ajouter un commentaire
Nickie72 - 2 nov. 2009 à 19:09
revoilà le lien j'espère que cette fois c'est la bonne

http://cjoint.com/?lcthMH6OTo
Ajouter un commentaire
Réponse
+0
moins plus
Xplode 7764Messages postés 21 août 2009Date d'inscription 4 janvier 2012Dernière intervention 3 nov. 2009 à 01:09
-+-+-+-> AD-Remover <-+-+-+-


[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

[x] Lance l'installation avec les paramètres par défaut..

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] Séléctionne l'option F pour français

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option L

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Nickie72 61Messages postés 15 novembre 2008Date d'inscription 17 août 2011Dernière intervention 3 nov. 2009 à 18:45
Bonsoir

Voilà le rapport :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_A | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 18.10.2009 à 19:05
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:24:24, 03/11/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: NICKIE | Utilisateur actuel: Compaq_Propri‚taire
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

HKCU\Software\EoRezo
HKCU\Software\FBSearch
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKCU\Software\SGPUpdater
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus Updater
HKCU\software\microsoft\internet explorer\searchscopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
.
C:\DOCUME~1\COMPAQ~1\APPLIC~1\DesktopIcon
C:\DOCUME~1\COMPAQ~1\APPLIC~1\EoRezo
C:\DOCUME~1\COMPAQ~1\APPLIC~1\ItsLabel
C:\Program Files\Fast Browser Search
C:\Program Files\Search Guard Plus
C:\Program Files\Search Guard PlusU
C:\Program Files\SGPSA

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version [Impossible d'obtenir la version] *
.
Nom du profil: kgvh2c2n.default (Compaq_Propri‚taire)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Yahoo");
(Prefs.js) //er_pref("browser.search.selectedEngine", "lo.st");
(Prefs.js) user_pref("browser.search.selectedEngine", "Live Search");
(Prefs.js) user_(ûpref("ur(û­lclassifieœ÷user_pref("browser.search.selectedEngine", "Search");
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-divx&p=");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://lo.st");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.8.1.12");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.msn.fr/");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://fr.msn.com/");
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Search Bar: hxxp://www.google.com/ie
SearchAssistant:
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
3874 Octet(s) - C:\Ad-Report-CLEAN[1].log
707 Octet(s) - C:\Ad-Report-Scan-18.04.2009.log
.
5 Fichier(s) - C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp
1 Fichier(s) - C:\WINDOWS\Temp
.
19 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
25 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 18:39:44 | 03/11/2009 - CLEAN[1]
.
============== E.O.F ==============
.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Xplode 7764Messages postés 21 août 2009Date d'inscription 4 janvier 2012Dernière intervention 3 nov. 2009 à 18:56
Bien, refais un log ZHPDiag

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Nickie72 61Messages postés 15 novembre 2008Date d'inscription 17 août 2011Dernière intervention 3 nov. 2009 à 19:06
Ci joint le lien :


http://cjoint.com/?ldtfRytqF3

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Xplode 7764Messages postés 21 août 2009Date d'inscription 4 janvier 2012Dernière intervention 3 nov. 2009 à 19:13
-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware

[x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

[x] Lance un scan complet.

[x] Coche bien tout les éléments trouvés et supprime les.

[x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

[x] N'oublie pas de vider la quarantaine de malwarebyte's.

Nb : Un tutoriel pour son utilisation est disponible à cette adresse

 Ajouter un commentaire
Nickie72 - 3 nov. 2009 à 22:23
rapport Malwarebyte's anti-malware :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3092
Windows 5.1.2600 Service Pack 3

03/11/2009 22:20:33
mbam-log-2009-11-03 (22-20-33).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Eléments examinés: 247561
Temps écoulé: 1 hour(s), 27 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP346\A0081189.exe (Adware.MakeTheWebBetter) -> Quarantined and deleted successfully.

Bonsoir
Ajouter un commentaire
Réponse
+0
moins plus
Xplode 7764Messages postés 21 août 2009Date d'inscription 4 janvier 2012Dernière intervention 4 nov. 2009 à 00:39
-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport info.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint "

[x] Fais de même pour le log.txt

[x] Copie/colle ensuite les deux liens dans ton prochain message

[x] Note : si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit

 Ajouter un commentaire
Nickie72 - 4 nov. 2009 à 18:38
Bonsoir

Comme demandé tu trouveras les deux liens pour RSIT


http://cjoint.com/?lesK4ApZri

http://cjoint.com/?lesMp7x0k0
Ajouter un commentaire
Réponse
+0
moins plus
Xplode 7764Messages postés 21 août 2009Date d'inscription 4 janvier 2012Dernière intervention 4 nov. 2009 à 18:46
A désinstaller via ajout/suppression de programmes :

Ad-Aware
AD-Remover
Google toolbar
Spyware Guard


Puis, fais ceci :

-+-+-+-> CCleaner <-+-+-+-


[x] Télécharge CCleaner.

[X] Choisis " french " pour l'installation.

[x] /!\ Important : Décoche " Ajouter la barre d'outil Yahoo toolbar ! /!\

[x] Lance le, dans la partie " nettoyeur " clique sur " analyser " à droite puis ensuite sur " nettoyer "

[x] Clique sur l'onglet " Registre " puis " chercher les erreurs "

[x] Clique sur " corriger les erreurs " puis un message de demandera si tu veux faire un backup, accepte en cliquant sur " oui " et enregistre le quelque part.

[x] Clique enfin sur " Corriger toutes les erreurs séléctionnées "

[x] Pense à renouveller l'opération assez souvent pour garder un pc propre.

 Ajouter un commentaire
Nickie72 - 4 nov. 2009 à 19:13
Dois je vraiment supprimer Ad-Aware car j'ai payé pour l'avoir et je ne sais pas si je pourrai le ravoir ensuite.
Autrement le reste est supprimé.
CCleaner avec ou sans Ad-Aware?
Autrement dois-je faire les mises à jour Java?
Ajouter un commentaire
Réponse
+0
moins plus
Xplode 7764Messages postés 21 août 2009Date d'inscription 4 janvier 2012Dernière intervention 4 nov. 2009 à 19:28
Ad-Aware est nul, autrefois c'était une référence, plus maintenant. Malwarebyte's l'a dépassé. Néanmoins si tu l'as payé tu peux le laisser..

Passe quand même CCleaner, et pour les mises à jour java, il faut bien entendu les faire

 Ajouter un commentaire
Nickie72 - 4 nov. 2009 à 20:16
je te mets les messages que j'ai eu en passant CCleaner


L'extension de fichier {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} fait référence à un programme inexistant. Ces références sont souvent laissées après la désinstallation d'un programme.

Solution: Effacer la valeur du registre.

Le programme de désinstallation : Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\HijackThis ,ne peut être localisé. Ces références sont souvent laissées après la désinstallation d'un programme.

Solution: Effacer la clé du registre.
Ajouter un commentaire
Réponse
+0
moins plus
Xplode 7764Messages postés 21 août 2009Date d'inscription 4 janvier 2012Dernière intervention 4 nov. 2009 à 20:32
C'est ok, refais un RSIT ( il n'y aura que le log.txt cette fois ci )

 Ajouter un commentaire
Nickie72 - 13 nov. 2009 à 12:35
Bonjour
De retour après une semaine d'absence pour te remercier de ton aide
Donc merci beaucoup
Ajouter un commentaire
Posez votre question
Ce document intitulé « PC encore infecté » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook