Rechercher : dans
Par :

PC encore infecté

Dernière réponse le 13 nov 2009 à 12:35:36 Nickie72, le 29 oct 2009 à 17:12:52 
 Signaler ce message aux modérateurs

Bonjour,

Comme je n'arrivais à installer les mises à jour Microsoft, j'ai donc posté un message. Voilà le message d'erreur que j'avais :
"Mise à jour de sécurité pour Microsoft .NET Framework version 1.1 Service Pack 1 pour Windows 2000, Windows XP, Windows Vista,
Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB953297)"
L'un d'entre vous m'a aidé et j'ai donc supprimé Microsoft.Net Framework version 1.1 pour ne garder que la 3.5.
Sur son conseil j'ai lancé UsbFix et lors du lancement pour le nettoyage, il s'est arrêté sur ce message:
"Rootkit :nmdfgds3.dll
Le chemin d'acces spécifié est introuvable"
Voilà le rapport

############################## | UsbFix V6.045 |

User : Compaq_Propriétaire (Administrateurs) # NICKIE
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:19:34 | 28/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Lavasoft Ad-Watch Live! AntiVirus [ Enabled | Updated ]
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Pare-feu Online Armor[ Enabled ]3.0.0.190

C:\ -> Disque fixe local # 180,3 Go (119,42 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 5,99 Go (2,35 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Tall Emu\Online Armor\oacat.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoViewContextMenu"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{d9567cfa-6adc-11dd-ba7c-0040f494fb5f}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[28/10/2009 20:19|--a------|61372] C:\aaw7boot.log
[18/04/2009 17:01|--a------|707] C:\Ad-Report-Scan-18.04.2009.log
[23/11/2004 22:21|--a------|0] C:\AUTOEXEC.BAT
[14/06/2009 10:33|-rahs----|296] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[05/08/2004 13:00|-r-hs----|263488] C:\cmldr
[23/11/2004 22:21|--a------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[23/11/2004 22:21|-rahs----|0] C:\IO.SYS
[25/05/2009 19:50|--a------|5911] C:\JavaRa.log
[23/11/2004 22:21|-rahs----|0] C:\MSDOS.SYS
[16/10/2009 17:32|--a------|12288] C:\mtwb.dat
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[30/05/2008 16:05|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[23/04/2009 16:59|--a------|1569] C:\TB.txt
[28/10/2009 20:26|--a------|4008] C:\UsbFix.txt
[28/07/2001 07:07|---hs----|0] D:\AUTOEXEC.BAT
[23/11/2004 17:48|---hs----|6] D:\BLOCK.RIN
[09/01/2002 20:52|---hs----|244] D:\BOOT.INI
[17/08/2001 10:26|---hs----|237728] D:\CMLDR
[28/07/2001 07:07|---hs----|0] D:\CONFIG.SYS
[10/09/2002 00:14|---hs----|100] D:\Desktop.ini
[10/09/2002 17:21|---hs----|7850] D:\Folder.htt
[30/04/2001 21:16|---hs----|14] D:\Graph
[25/01/2002 19:21|---hs----|0] D:\GRAPH16
[30/11/2004 12:01|---hs----|73728] D:\Info.exe
[28/07/2001 07:07|---hs----|0] D:\IO.SYS
[28/07/2001 07:07|---hs----|0] D:\MSDOS.SYS
[25/07/2001 23:00|---hs----|45124] D:\NTDETECT.COM
[17/08/2001 16:32|---hs----|0] D:\NTFS
[25/07/2001 23:00|---hs----|222880] D:\NTLDR
[03/03/2003 13:46|---hs----|111377] D:\protect.ed
[23/11/2004 17:39|---hs----|36] D:\SaveFile.Dir
[30/04/2001 21:16|---hs----|14] D:\SVGA
[02/01/2005 19:24|--ahs----|942] D:\USER
[03/03/2003 13:41|---hs----|88038] D:\Warning.bmp
[18/08/2001 16:00|---hs----|10] D:\WIN51
[22/01/2001 16:00|---hs----|11] D:\WIN51.B2
[25/07/2001 16:00|---hs----|11] D:\WIN51.RC1
[25/07/2001 21:47|---hs----|11] D:\WIN51.RC2
[18/08/2001 16:00|---hs----|10] D:\WIN51IC
[20/03/2001 16:00|---hs----|11] D:\WIN51IC.B2
[25/07/2001 16:00|---hs----|11] D:\WIN51IC.RC1
[25/07/2001 16:00|---hs----|11] D:\WIN51IC.RC2
[17/08/2001 16:00|---hs----|10] D:\WIN51IP
[22/01/2001 16:00|---hs----|11] D:\WIN51IP.B2
[25/07/2001 21:47|---hs----|11] D:\WIN51IP.RC2
[17/08/2001 14:17|---hs----|184] D:\WINBOM.INI
[01/04/2006 10:09|-r-hs----|26] D:\RCBoot.sys

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.

################## | Suspect | http://www.virustotal.com |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.045 !

Merci de votre aide

Configuration: Windows XP Internet Explorer 7.0

Meilleures réponses pour « PC encore infecté » dans :
PC infecté par des rogues Voir Que faire si votre pc est infecté par un ou plusieurs rogues ?? Définition d'un rogue Procédure préliminaire à exécuter si vous êtes sous Vista 1. SmitfraudFix Option 1 - Recherche Option 2 - Nettoyage 2. MalwareByte's Anti...
[Virus] Que faire quand on est infecté ? VoirSi vous savez ou vous pensez être infecté par un virus Si vous savez ou vous pensez être infecté par un virus, il faut s'en occuper le plus rapidement possible car l'infection peut inviter d'autres infections dans votre PC et votre système risque...
[mythes] PC infecté dans les 5 premières minutes d'Internet VoirMythe Un PC relié à internet sera infecté dans les 5 premières minutes de connexion Réalité VRAI Explications Tous les systèmes d'exploitation possèdent des bugs (des erreurs de programmation). Windows n'y échappe pas. Il se trouve que la...

1

Xplode, le 29 oct 2009 à 17:14:07

Salut, fais ceci :

-+-+-+-> RootRepeal <-+-+-+-


[x] Télécharge RootRepeal

[x] Décompresse le sur ton bureau

[x] Double clique sur rootrepeal.exe ( Clique-droit -> Executer en tant qu'administrateur ( vista ) )

[x] Clique sur l'onglet " Report " puis sur " Scan "

[x] Coche toutes les cases dans la fenêtre qui s'ouvre puis sur " Ok "

[x] A la deuxième fenêtre, séléctionne ta partition système ( en général C: )

[x] Laisse le scan s'opérer, puis copie/colle le rapport qui s'ouvrira peut de temps après le scan dans ta prochaine réponse.

+ Ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau ( Clique droit -> Executer en tant qu'admin ( vista ) )

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

Répondre à Xplode

2

Nickie72, le 29 oct 2009 à 17:38:24

Bonsoir

et merci de répondre si vite

dans un premier temps je t'envoie ce rapport et je fais le reste tout de suite

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/10/29 17:20
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF18E5000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7B56000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEE94A000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Messenger\minibton@hotmail.fr\SharingMetadata­\maryetfab@hotmail.fr\DFSR\Staging\CS{D0E8E48F-5FCC-5461-D6C­B-BA997BC1E4F5}\13\14-{4A~1.FRX:{59828bbb-3f72-4c1b-a420-b51­ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.

SSDT
-------------------
#: 017 Function Name: NtAllocateVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab20f0

#: 019 Function Name: NtAssignProcessToJobObject
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab26e0

#: 031 Function Name: NtConnectPort
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1370

#: 037 Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee80

#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7c9a77e

#: 046 Function Name: NtCreatePort
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab11d0

#: 047 Function Name: NtCreateProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aaea10

#: 048 Function Name: NtCreateProcessEx
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aaede0

#: 050 Function Name: NtCreateSection
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aae520

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7c9a774

#: 057 Function Name: NtDebugActiveProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab07b0

#: 062 Function Name: NtDeleteFile
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abf9c0

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7c9a783

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7c9a78d

#: 071 Function Name: NtEnumerateKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee20

#: 073 Function Name: NtEnumerateValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee50

#: 097 Function Name: NtLoadDriver
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1bc0

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7c9a792

#: 116 Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abf5d0

#: 119 Function Name: NtOpenKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abd9a0

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7c9a760

#: 125 Function Name: NtOpenSection
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aae7a0

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7c9a765

#: 137 Function Name: NtProtectVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab2390

#: 160 Function Name: NtQueryKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abedc0

#: 177 Function Name: NtQueryValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abedf0

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7c9a79c

#: 200 Function Name: NtRequestWaitReplyPort
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1750

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7c9a797

#: 206 Function Name: NtResumeThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0e80

#: 207 Function Name: NtSaveKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abeda0

#: 213 Function Name: NtSetContextThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab05d0

#: 240 Function Name: NtSetSystemInformation
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0930

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7c9a788

#: 249 Function Name: NtShutdownSystem
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1ac0

#: 253 Function Name: NtSuspendProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1030
Bonsoir
et Merci de répondre si vite.

Dans un premier temps voici le rapport RootRepeal

#: 254 Function Name: NtSuspendThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0cb0

#: 255 Function Name: NtSystemDebugControl
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0b10

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf7c9a76f

#: 258 Function Name: NtTerminateThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0400

#: 262 Function Name: NtUnloadDriver
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1de0

#: 277 Function Name: NtWriteVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab2540

==EOF==

Répondre à Nickie72

3

Nickie72, le 29 oct 2009 à 17:48:39

Pour la suite
je n'ai pas pu lancé ZHPDiag. J'ai peut-être fait une mauvaise manip?

Message d'erreur :
"impossible de créer le fichier "C:\Progarm Files\ZHPDiag\ZHPDiag.txt. Accès refusé"
Il reste toujours avec le sablier

Répondre à Nickie72

4

Nickie72, le 30 oct 2009 à 11:48:13

Bonjour

Avant de m'absenter jusqu'à lundi, je colle le lien demandé.
J'espère que tu pourras y accéder

http://cjoint.com/?kElUPTNQMh

Répondre à Nickie72

5

Nickie72, le 2 nov 2009 à 18:26:15

Bonsoir

De retour de week end

Je pense que le lien que je t'ai mis ne fonctionne pas car j'ai le message suivant:
"Impossible d'effectuer cette opération car le client de courrier électronique par défaut n'est pas installé correctement"
Que doit-je faire?

Excuses moi mais je ne connais pas trop donc...

Répondre à Nickie72

6

Xplode, le 2 nov 2009 à 18:55:24

Oui, le lien n'est pas valide..

Suis bien les indications que je t'ai donné dans ma première réponse. Il faut que tu heberges le fichier ZHPDiag.txt sur cjoint et que tu copie/colle le lien qui se trouve après " le lien à été créé : [ lien ] "

Répondre à Xplode

7

Nickie72, le 2 nov 2009 à 19:09:45

Revoilà le lien j'espère que cette fois c'est la bonne

http://cjoint.com/?lcthMH6OTo

Répondre à Nickie72

8

Xplode, le 3 nov 2009 à 01:09:45

-+-+-+-> AD-Remover <-+-+-+-


[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

[x] Lance l'installation avec les paramètres par défaut..

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] Séléctionne l'option F pour français

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option L

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post

Répondre à Xplode

9

Nickie72, le 3 nov 2009 à 18:45:13

Bonsoir

Voilà le rapport :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_A | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 18.10.2009 à 19:05
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:24:24, 03/11/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: NICKIE | Utilisateur actuel: Compaq_Propri‚taire
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

HKCU\Software\EoRezo
HKCU\Software\FBSearch
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A­0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64­F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC­4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKCU\Software\SGPUpdater
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C­89C56013A}
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF­2BD778F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Sea­rch Guard Plus
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Sea­rch Guard Plus Updater
HKCU\software\microsoft\internet explorer\searchscopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}­
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B­9F9938}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E67C74F4-A00A-4F2C-9FEC-FD9DC0­04A67F}
HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B­2D695}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Brow­ser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B7­9522C6D}
HKLM\software\microsoft\windows\currentversion\installer\use­rdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\use­rdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
.
C:\DOCUME~1\COMPAQ~1\APPLIC~1\DesktopIcon
C:\DOCUME~1\COMPAQ~1\APPLIC~1\EoRezo
C:\DOCUME~1\COMPAQ~1\APPLIC~1\ItsLabel
C:\Program Files\Fast Browser Search
C:\Program Files\Search Guard Plus
C:\Program Files\Search Guard PlusU
C:\Program Files\SGPSA

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version [Impossible d'obtenir la version] *
.
Nom du profil: kgvh2c2n.default (Compaq_Propri‚taire)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Yahoo");
(Prefs.js) //er_pref("browser.search.selectedEngine", "lo.st");
(Prefs.js) user_pref("browser.search.selectedEngine", "Live Search");
(Prefs.js) user_(ûpref("ur(û­lclassifieœ÷user_pref("browser.search.selectedEngine", "Search");
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-divx&p=");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://lo.st");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.8.1.12");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.msn.fr/");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://fr.msn.com/");
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Search Bar: hxxp://www.google.com/ie
SearchAssistant:
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
3874 Octet(s) - C:\Ad-Report-CLEAN[1].log
707 Octet(s) - C:\Ad-Report-Scan-18.04.2009.log
.
5 Fichier(s) - C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp
1 Fichier(s) - C:\WINDOWS\Temp
.
19 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
25 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 18:39:44 | 03/11/2009 - CLEAN[1]
.
============== E.O.F ==============
.

Répondre à Nickie72

10

Xplode, le 3 nov 2009 à 18:56:09

Bien, refais un log ZHPDiag

Répondre à Xplode

11

Nickie72, le 3 nov 2009 à 19:06:41
Répondre à Nickie72

12

Xplode, le 3 nov 2009 à 19:13:31

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware

[x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

[x] Lance un scan complet.

[x] Coche bien tout les éléments trouvés et supprime les.

[x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

[x] N'oublie pas de vider la quarantaine de malwarebyte's.

Nb : Un tutoriel pour son utilisation est disponible à cette adresse

Répondre à Xplode

13

Nickie72, le 3 nov 2009 à 22:23:55

Rapport Malwarebyte's anti-malware :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3092
Windows 5.1.2600 Service Pack 3

03/11/2009 22:20:33
mbam-log-2009-11-03 (22-20-33).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Eléments examinés: 247561
Temps écoulé: 1 hour(s), 27 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\R­P346\A0081189.exe (Adware.MakeTheWebBetter) -> Quarantined and deleted successfully.

Bonsoir

Répondre à Nickie72

14

Xplode, le 4 nov 2009 à 00:39:26

-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport info.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint "

[x] Fais de même pour le log.txt

[x] Copie/colle ensuite les deux liens dans ton prochain message

[x] Note : si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit

Répondre à Xplode

15

Nickie72, le 4 nov 2009 à 18:38:51

Bonsoir

Comme demandé tu trouveras les deux liens pour RSIT


http://cjoint.com/?lesK4ApZri

http://cjoint.com/?lesMp7x0k0

Répondre à Nickie72

16

Xplode, le 4 nov 2009 à 18:46:55

A désinstaller via ajout/suppression de programmes :

Ad-Aware
AD-Remover
Google toolbar
Spyware Guard


Puis, fais ceci :

-+-+-+-> CCleaner <-+-+-+-


[x] Télécharge CCleaner.

[X] Choisis " french " pour l'installation.

[x] /!\ Important : Décoche " Ajouter la barre d'outil Yahoo toolbar ! /!\

[x] Lance le, dans la partie " nettoyeur " clique sur " analyser " à droite puis ensuite sur " nettoyer "

[x] Clique sur l'onglet " Registre " puis " chercher les erreurs "

[x] Clique sur " corriger les erreurs " puis un message de demandera si tu veux faire un backup, accepte en cliquant sur " oui " et enregistre le quelque part.

[x] Clique enfin sur " Corriger toutes les erreurs séléctionnées "

[x] Pense à renouveller l'opération assez souvent pour garder un pc propre.

Répondre à Xplode

17

Nickie72, le 4 nov 2009 à 19:13:48

Dois je vraiment supprimer Ad-Aware car j'ai payé pour l'avoir et je ne sais pas si je pourrai le ravoir ensuite.
Autrement le reste est supprimé.
CCleaner avec ou sans Ad-Aware?
Autrement dois-je faire les mises à jour Java?

Répondre à Nickie72

18

Xplode, le 4 nov 2009 à 19:28:29

Ad-Aware est nul, autrefois c'était une référence, plus maintenant. Malwarebyte's l'a dépassé. Néanmoins si tu l'as payé tu peux le laisser..

Passe quand même CCleaner, et pour les mises à jour java, il faut bien entendu les faire

Répondre à Xplode

19

Nickie72, le 4 nov 2009 à 20:16:16

Je te mets les messages que j'ai eu en passant CCleaner


L'extension de fichier {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} fait référence à un programme inexistant. Ces références sont souvent laissées après la désinstallation d'un programme.

Solution: Effacer la valeur du registre.

Le programme de désinstallation : Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\HijackThis ,ne peut être localisé. Ces références sont souvent laissées après la désinstallation d'un programme.

Solution: Effacer la clé du registre.

Répondre à Nickie72

20

Xplode, le 4 nov 2009 à 20:32:18

C'est ok, refais un RSIT ( il n'y aura que le log.txt cette fois ci )

Répondre à Xplode

21

Nickie72, le 4 nov 2009 à 20:36:10
Répondre à Nickie72

22

 Nickie72, le 13 nov 2009 à 12:35:36

Bonjour
De retour après une semaine d'absence pour te remercier de ton aide
Donc merci beaucoup

Répondre à Nickie72