Virus MsnRésolu/Fermé

Question

Bonjour,  
alors voila lautre jour un contact ma envoyé un lien (cetait le virus que j'ai maintenant enfaite) qui proposait de telecharger une photo et biensur comme un debile je lai ouvert enfin voila maintenant mon pc lag jenvoi plein de phrases a mes contacts qui proposent diverse lien, et sur certain site, c'est assez etrange mais ils ont limpression que je suis en train de violer des protocole de securité.... Enfin bref jai des processus du genre 012065106.exe qui se situent dans temp, j'ai essayé de les fermé mais ils reviennent  
sans arret et me font lager et parler sur msn 
voici des pharase par exemple 
Devrais-je mettre cette photo de profile?  

C'est la photo la plus marrante! 

(liens supprimés par la Modération.) 

De plus jai telecharger Emisoft et au moment ou je vous parle il viens de dececter cela 

Lors de l'exécution du programme, Anti-Malware a détecté un possible comportement malveillant. Le programme tente de simuler des mouvements et clics de souris ou d'actionner le clavier. Les Malware utilisent cette technique pour désactiver ou prendre le contrôle à distance des logiciels de sécurité et d'autres programmes. Si vous n'avez pas démarré intentionnellement le programme affiché ci-dessus, alors ce serait une bonne idée de bloquer le programme et, le cas échéant, de le mettre en quarantaine. Si vous connaissez le programme et êtes vraiment certain qu'il n'est pas nuisible, alors cliquez sur "Autoriser" ou "Exclure de la protection". 
et le fichier en question est c:\user\pierre\microsoft-Driver-1-53-2495-3625-9745\Winsvn.exe 
et maintenant que je lai blocer sa me dis C:\Windows\Sysnative\msfeedssync.exe 
Diagnostic; Un programme affiche un comportement similaire a un spyware (Lan Bypass Backdoor) 

voila antivir ralais toute les dix minutes aussi mais maintenant il ne dis plus rien limage que javais telecharger contenait apparament le virus serai Trojan.suspectCRC!IK. 

voila aider moi svp 
merci d'avance 


Configuration: Windows 7 / Firefox 3.6.15

MiiiZoey · Answer

Salut, mon père a déjà clicker sur ce lien et malheuresement, l'ordi a beugé pendant un bon bout de remps, et c'est un informaticien qui l'a réparé ... 

Ce que je peux te conseiller pour le moment, c'est de ne surtout pas te connecter (même en hors-ligne ) à MSN, de demander à tous tes contacts qu'ils te bloquent, comme ça ils ne pourront pas avoir ton virus et fais passer un antivirus à ton disque dur ... 
Ensuite tu vois ce qu'il se passe mais je ne peux pas le prédire ;) 

Bye !

Utilisateur anonyme · Answer

Bonjour

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

pierrecitidu91 · Answer

De mieux en mieux quand je met ma clé usb jai un message d'avira et un message du type WINRSVN.exe pas de disque
Il ny a pas de disque dans le lecteur Inserer un disque dans le lecteur /device
/harddisk1/dr1 et cela jusqua harddisck4/dr4
Je fait le scan

pierrecitidu91 · Answer

Voila le lien jai eté obliger de formater ma clé car il y avait un autorun invisible et maintenant jai carrement des message du genre 0156015610.exe tente de manipuler dautre processus....

http://www.cijoint.fr/cjlink.php?file=cj201103/cijOAJGIz4.txt
Merci de maide

Utilisateur anonyme · Answer

Re

1)* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://www.teamxscript.org/adremoverTelechargement.html

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=


2)Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)



Poste moi les rapports au fur et à mesure;merci.
@+

pierrecitidu91 · Answer

oK 4 fois que je post et que rien apparait....
Alors pour la quatrieme fois, Malwarbyte sinstalle mais rien ne se copier sur le disque dur enfainte il sinstalle meme pas 
voila le rapport de AD R

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:23:10 le 12/03/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
Pierre@PIERRE-PC (System manufacturer System Product Name) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Program Files (x86)\InstallPedia
Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Fichier supprimé: C:\Windows\SysWOW64\Utils.dll
Dossier supprimé: C:\Users\Pierre\AppData\Roaming\Mozilla\FireFox\Profiles
1wf7rk0.default\conduit
Dossier supprimé: C:\Users\Pierre\AppData\Roaming\Mozilla\FireFox\Profiles
1wf7rk0.default\ConduitEngine
Dossier supprimé: C:\Users\Pierre\AppData\Roaming\Mozilla\FireFox\Profiles
1wf7rk0.default\extensions\engine@conduit.com
Dossier supprimé: C:\Users\Pierre\AppData\LocalLow\Toolbar4
Dossier supprimé: C:\Users\Pierre\AppData\Roaming\OfferBox
Dossier supprimé: C:\Program Files (x86)\OfferBox

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Pierre\AppData\Roaming\Mozilla\FireFox\Profiles
1wf7rk0.default\Prefs.js --
Ligne supprimée: user_pref("CT2851639.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT285... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/1243674/1239347/FR", "\"0\"... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/FR", "\"0\"")... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2851639", ... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/toolbar/", "\"63433363123173... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=1/11/20... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=11/8/20... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=12/21/2... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=12/27/2... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=12/30/2... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=2/17/20... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=2/22/20... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2851639/CT2851639... 
Ligne supprimée: user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=fr", "\"634... 
Ligne supprimée: user_pref("CommunityToolbar.EngineOwner", "CT2851639"); 
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerGuid", "{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"); 
Ligne supprimée: user_pref("CommunityToolbar.EngineOwnerToolbarId", "utorrentbar_fr"); 
Ligne supprimée: user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); 
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwner", "CT2851639"); 
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"); 
Ligne supprimée: user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "utorrentbar_fr"); 
Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr... 
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "ConduitEngine,CT2851639"); 
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "ConduitEngine,CT2851639"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoInterval", 1440); 
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Fri Mar 11 2011 22:12:57 GMT+0100"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.locale", "en"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); 
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Fri Mar 11 2011 22:12:57 GMT+0100"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1291052234"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); 
Ligne supprimée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); 
Ligne supprimée: user_pref("CommunityToolbar.alert.showTrayIcon", false); 
Ligne supprimée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); 
Ligne supprimée: user_pref("CommunityToolbar.alert.userId", "34c65006-e67e-43a1-b480-11ee556bb3ba"); 
Ligne supprimée: user_pref("CommunityToolbar.facebook.sessionKey", "2.lzRvTvwDZO8Q0JTYUSJ5aA__.86400.1299621600-10000... 
Ligne supprimée: user_pref("CommunityToolbar.facebook.sessionSecret", "4Is0M05geexTzC60o7oEdg__"); 
Ligne supprimée: user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Tue Mar 08 2011 22:12:58 GMT+0100"); 
Ligne supprimée: user_pref("CommunityToolbar.facebook.userId", "100000305644355"); 
Ligne supprimée: user_pref("ConduitEngine.CTID", "ConduitEngine"); 
Ligne supprimée: user_pref("ConduitEngine.FirstServerDate", "12/21/2010 19"); 
Ligne supprimée: user_pref("ConduitEngine.FirstTime", true); 
Ligne supprimée: user_pref("ConduitEngine.FirstTimeFF3", true); 
Ligne supprimée: user_pref("ConduitEngine.FixPageNotFoundErrors", false); 
Ligne supprimée: user_pref("ConduitEngine.HasUserGlobalKeys", true); 
Ligne supprimée: user_pref("ConduitEngine.Initialize", true); 
Ligne supprimée: user_pref("ConduitEngine.InitializeCommonPrefs", true); 
Ligne supprimée: user_pref("ConduitEngine.InstallationType", "UnknownIntegration"); 
Ligne supprimée: user_pref("ConduitEngine.InstalledDate", "Sun Dec 12 2010 18:12:20 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.IsMulticommunity", false); 
Ligne supprimée: user_pref("ConduitEngine.IsOpenThankYouPage", false); 
Ligne supprimée: user_pref("ConduitEngine.IsOpenUninstallPage", false); 
Ligne supprimée: user_pref("ConduitEngine.LanguagePackLastCheckTime", "Fri Mar 11 2011 22:13:00 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.LastLogin_3.2.5.2", "Sat Mar 12 2011 15:28:54 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.PublisherContainerWidth", 0); 
Ligne supprimée: user_pref("ConduitEngine.SearchFromAddressBarIsInit", true); 
Ligne supprimée: user_pref("ConduitEngine.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=C... 
Ligne supprimée: user_pref("ConduitEngine.SettingsLastCheckTime", "Sat Mar 12 2011 15:28:54 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.UserID", "UN34251954364402490"); 
Ligne supprimée: user_pref("ConduitEngine.engineLocale", "fr"); 
Ligne supprimée: user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Fri Mar 11 2011 22:13:00 GMT+0100"); 
Ligne supprimée: user_pref("ConduitEngine.initDone", true); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{221A0A30-7C34-3B1E-A641-25DE3924B2B6}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKLM\Software\InstallPedia
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\Spointer
Clé supprimée: HKLM\Software\Cheat Engine\OpenCandy
Clé supprimée: HKLM\Software\Classes\Installer\Products\5B4758C25396ECF468E04F8E063287FF
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2C8574B5-6935-4FCE-860E-F4E8602378FF}
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.15 (fr)] ****

HKLM_MozillaPlugins\@ngm.nexoneu.com/NxGame (x)
HKLM_MozillaPlugins\@nvidia.com/3DVision (x)
HKLM_MozillaPlugins\@nvidia.com/3DVisionStreaming (x)
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension		)

-- C:\Users\Pierre\AppData\Roaming\Mozilla\FireFox\Profiles
1wf7rk0.default --
Extensions\cacaoweb@cacaoweb.org (cacaoweb)
Extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} (uTorrentBar_FR Community Toolbar)
Extensions\{455D905A-D37C-4643-A9E2-F6FEFAA0424A} (RefControl)
Extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} (HyperCam Toolbar)
Extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670} (iMacros for Firefox)
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15

========================================

**** Internet Explorer Version [8.0.7600.16385] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{CCC7A320-B3CA-4199-B1A6-9F516DD69829} (x)
HKCU_Toolbar\WebBrowser|{338B4DFE-2E2C-4338-9E41-E176D497299E} (C:\Program Files (x86)\HyperCam Toolbar	bcore3.dll)
HKLM_Toolbar|{CCC7A320-B3CA-4199-B1A6-9F516DD69829} (x)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2322.0
pwinext.dll)
HKLM_Toolbar|{338B4DFE-2E2C-4338-9E41-E176D497299E} (C:\Program Files (x86)\HyperCam Toolbar	bcore3.dll)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291} - C:\Program Files (x86)\HyperCam Toolbar\TbHelper2.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{FCBCCB87-9224-4B8D-B117-F56D924BEB18} - "SMTTB2009 Class" (C:\Program Files (x86)\HyperCam Toolbar	bcore3.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 60 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 12/03/2011 16:23:21 (12852 Octet(s)) 

Fin à: 16:25:04, 12/03/2011 
 
============== E.O.F ==============

pierrecitidu91 · Answer

oK 5 fois que je post et que rien apparait....
Alors pour la quatrieme fois, Malwarbyte sinstalle mais rien ne se copier sur le disque dur enfainte il sinstalle meme pas
voila le rapport de AD R

http://www.cijoint.fr/cjlink.php?file=cj201103/cijep1MKJ5.txt

Utilisateur anonyme · Answer

Re

Ok ;passons à la taille supérieure.
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

@+

pierrecitidu91 · Answer

Voila jai fait lanalyse le virus est tjs la par contre

http://www.cijoint.fr/cjlink.php?file=cj201103/cijIlssXoM.txt

Merci

Utilisateur anonyme · Answer

Re

Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours 
* Lance le. 
* Lorsque demandé, tape 1 et valide 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. 


@+

pierrecitidu91 · Answer

Et voila RogueKiller V4.3.0 par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur: Pierre [Droits d'admin] Mode: Recherche -- Date : 12/03/2011 17:30:22 Processus malicieux: 0 Entrees de registre: 0 Fichier HOSTS: 127.0.0.1 localhost ::1 localhost 127.0.0.1 hl2rcv.adobe.com 127.0.0.1 adobeereg.com 127.0.0.1 activate.adobe.com 127.0.0.1 practivate.adobe.com 127.0.0.1 ereg.adobe.com 127.0.0.1 activate.wip3.adobe.com 127.0.0.1 ereg.wip3.adobe.com 127.0.0.1 wip3.adobe.com 127.0.0.1 activate-sea.adobe.com 127.0.0.1 wwis-dubc1-vip60.adobe.com 127.0.0.1 activate-sjc0.adobe.com 127.0.0.1 3dns.adobe.com 127.0.0.1 3dns-1.adobe.com 127.0.0.1 3dns-2.adobe.com 127.0.0.1 3dns-3.adobe.com 127.0.0.1 3dns-4.adobe.com 127.0.0.1 adobe-dns.adobe.com 127.0.0.1 adobe-dns-1.adobe.com [...] Termine : << RKreport[1].txt >> RKreport[1].txt

Utilisateur anonyme · Answer

Re

Lance Malwaresbytes ;maintenant.
Poste moi son rapport;merci.
@+

pierrecitidu91 · Answer

Il ne marche toujours pas...

pierrecitidu91 · Answer

Je commence un examen complet

pierrecitidu91 · Answer

Voila c'est enfin fait XD
Deux virus detecté et mis en quarantaine 
voici le rapport
http://www.cijoint.fr/cjlink.php?file=cj201103/cijGyAyfVI.txt

Utilisateur anonyme · Answer

Re 
Télécharge Superantispyware (SAS) 
https://www.superantispyware.com/

Choisis "enregistrer" et enregistre-le sur ton bureau. 

Double-clique ou clic droit (exécuter en tant...) sous Vista  sur l'icône d'installation qui vient de se créer et suis les instructions. 

Créé une icône sur le bureau. 

Double-clique clique ou clic droit (exécuter en tant...) sous Vista  sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer. 

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes. 
- Sous Configuration and Préférences, clique sur le bouton "Préférences" 
- Clique sur l'onglet "Scanning Control " 
- Dans "Scanner Options ", assure toi que la case devant les lignes suivantes est cochée : 

Close browsers before scanning 
Scan for tracking cookies 
Terminate memory threats before quarantining 
- Laisse les autres lignes décochées. 

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle. 

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer". 

Dans la colonne de gauche, coche C:\Fixed Drive. 

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan" 

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan. 

A la fin du scan, une fenêtre de résultats s'ouvre. Clique sur OK. 

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'est demandé de redémarrer l'ordi ("reboot"), clique sur Yes. 

Pour recopier les informations sur le forum, fais ceci : 

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS. 
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ". 
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log. 

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut. 

- Copie son contenu dans ta réponse. 


Regarde bien le tuto il est très bien expliqué. 

https://www.malekal.com/?s=SUPERAntiSpyware


@+ 
---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

pierrecitidu91 · Answer

Et voila !

http://www.cijoint.fr/cjlink.php?file=cj201103/cij330WiOm.txt

Utilisateur anonyme · Answer

Re

quelles sont les nouvelles?

Mais avant:

1)Purge la restauration sur Seven
Comment faire :

http://www.forum-seven.com/forum/

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections

@+

pierrecitidu91 · Answer

C'est bon c'est purgé depuis malwarbytes je n'ai plus de probleme 
Mon ordi n'est apparament plus contaminé X)

Utilisateur anonyme · Answer

Re

Je te propose donc de clore ce post.

@+

pierrecitidu91 · Answer

D'accord merci pour tout !

pierrecitidu91 · Answer

Erf il est revenu.....
Aidez moi !

pierrecitidu91 · Answer

Et bien je vois pas quelles erreur j'ai faites .... J'ouvre un Nouveau Sujet...

pierrecitidu91 · Answer

Bon on a fermer mon autre sujet.... Donc je dois continuer celui la... Voici ci quelqu'un peut maider ...

Utilisateur anonyme · Answer

bonjour,
laisse moi le temps de lire le topic, je reposte un nouveau message pour t'indiquer la démarche à suivre,

Utilisateur anonyme · Answer

bien, Guillaume l'a bien avanc  ;-)

tu as encore Zhpdiag sur ton pc ?

si oui :

lance zhpdiag, clique sur la flèche verte en haut de sa page, si ton parfeu te demande l'autorisation, accèpte le,

une fois la mise à jour faite ,


* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr/getfile.pl?file=/doYgUQ3V
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/

pierrecitidu91 · Answer

Ok je lance le scan merci de maide en tout cas !

Utilisateur anonyme · Answer

ok   :-)

pierrecitidu91 · Answer

Et voila ^^

http://www.cijoint.fr/cjlink.php?file=cj201103/ciju61bKPy.txt

Utilisateur anonyme · Answer

c'est cacaoweb et autres  !!!

attention, cacaoweb est  une infection !!!


*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 

	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

pierrecitidu91 · Answer

Non ca ne peut pas etre cacaoweb puisque je lai depuis tres longtemps, et quil ne ma jamais fait ca, de plus, j'ai ce virus depuis que jai telecharger l'image de Msn....

Utilisateur anonyme · Answer

lance le sca n de combofix et tu verras le résultat  :-)

pierrecitidu91 · Answer

Bon je lance Combo fix.... C'est pas possible que ca soit ca... Mais bon

Utilisateur anonyme · Answer

Re

Salut tout le monde ;vous faites la même chose que moi;-))

@ pierrecitidu91 Si tu réinstalles ces mêmes programmes douteux ,tu n'es pas sorti d'affaire ;((

@+

Utilisateur anonyme · Answer

helo Guillaume, il est persuadé que le problème ne vient pas de cacaoweb !!! 


je vais lui démonter avec un rapport de CF  :-) 

sauf si tu veux reprendre la main  :-) 





O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

pierrecitidu91 · Answer

Voila le rapport ce que je comprend c'est pk tout a coup le virus ce serai declencher comme par hasard pile au moment ou je telecharge un virus depuis msn de plus il faut preciser que l'ami qui a le meme virus que moi, n'a pas cacaoweb.... Mais bon combo  fix la supprimer...

rapport : http://www.cijoint.fr/cjlink.php?file=cj201103/cijWaaMHeJ.txt

pierrecitidu91 · Answer

Et comme  je l'avais dis plus haut, lors de ma premiere utilisation de combo fix, lorsqu'il a supprimer cacaoweb, le virus marchais toujours :) J'ai regarder sur le net, personne na la meme chose que moi, cacaoweb n'a jamais ecris des messages depuis msn ... Donc ?

Utilisateur anonyme · Answer

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
c:\users\Pierre\AppData\Roaming\cacaowebc:\users\Pierre\AppData\Roaming\cacaoweb\ad96D9145E8C867A23E1125CAAA9681BE1.ad
c:\users\Pierre\AppData\Roaming\cacaoweb\adstorage.db
c:\users\Pierre\AppData\Roaming\cacaoweb\cacaoweb.exe
c:\users\Pierre\AppData\Roaming\cacaoweb\download3ZNI324L282152899.cacao
c:\users\Pierre\AppData\Roaming\cacaoweb\download7YUZIXI7302903230.cacao
c:\users\Pierre\AppData\Roaming\cacaoweb\downloadAULQ5WDX595638919.cacao
c:\users\Pierre\AppData\Roaming\cacaoweb\downloadQB2HL7CT249746888.cacao
c:\users\Pierre\AppData\Roaming\cacaoweb\downloadQNZRM2KB937576547.cacao
c:\users\Pierre\AppData\Roaming\cacaoweb\storage.db





la suite :

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

pierrecitidu91 · Answer

Et dire que j'ai fait cet examen de Mbam hier, c'est repartit.... Je le relance ^^

Utilisateur anonyme · Answer

MBAM ne supprime pas tout, tout comme Combofix !

ce sont des bons outils, mais chaque outil est adapté à un type d'infection !


n'oublie pas de lancer une mise à jour avant  :-)

pierrecitidu91 · Answer

euh jai utiliser combofix avant Mbam... Enfaite la je refait ce que jai fait hier  XD 
Tkt jai mis a jour hier et jai verifier si il y avaient des MaJ
Donc la ca scan....

Utilisateur anonyme · Answer

ok, 

on attend la fin de scan :-)

Utilisateur anonyme · Answer

Hello vous 2 , 

Pour suivre le sujet & éventuellement récupérer : C:\Users\Pierre\Microsoft-Driver-1-52-3465-8637-4525\winrsvn.exe  

@+ tard . 
TeamXscript - El Desaparecido

pierrecitidu91 · Answer

Et voila rien de detecer par contre le virus toute les deux minutes ca y va.... Je viens dinserer une clé et tien la c'est la fin j'ai un message du style le lecteur n'est pas dans le hardisck et le processus c'est celui des screen que je vous envoi....

Comme je le disais le virus ne viens pas de cacaoweb donc peut etre allez vous m'ecoutez ??

http://www.cijoint.fr/cjlink.php?file=cj201103/cijzrdGWeo.txt

Screen .

https://imageshack.com/
Faite Play as SlideShow c'est plus rapide 
La photo Un c'est le message quand jinsere la clé
La deuxieme c'est le 3 fichier qui devrai pas y etre
la troisieme le message que maffiche Windows en premier
La quatriere apres avoir cliquer mille fois en dernier
La cinquieme le PRocessus que je delete pour pouvoir arreter ces message en boucles...
Voila

Utilisateur anonyme · Answer

je sais de quoi il s'agit  :-)

mais cacaoweb reste une infection !!!




* Télécharge USBFIX sur ton bureau (Merci à l'équipe TeamXscript) 

- http://www.teamxscript.org/usbfixTelechargement.html (Lien officiel) 
 ou ici : 
 - http://teamxscript.changelog.fr/UsbFix.html 

  
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  

- Double-clique sur l'icône Usbfix située sur ton Bureau.  
- Sur la page, clique sur le bouton : 
« Recherche » 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 
- puis clique sur OK 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin.  
le rapport se trouve sur C:\ UsbFix.txt 
Note : A la fin de l'option nettoyage, il est recommandé de redémarrer le pc 


O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

pierrecitidu91 · Answer

############################## | UsbFix 7.041 | [Recherche]

Utilisateur: Pierre (Administrateur) # PIERRE-PC [System manufacturer System Product Name]
Mis à jour le 24/02/2011 par TeamXscript
Lancé à 20:56:11 | 13/03/2011
Site Web: http://www.teamxscript.org
Un fichier non reconnu ? : http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 4095 Mo 
C:\ (%systemdrive%) -> Disque fixe # 465 Go (189 Go libre(s) - 41%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
K:\ -> Disque amovible # 7 Go (7 Go libre(s) - 100%) [] # FAT32

################## | Éléments infectieux |


Présent! K:\Ftp test.lnk
Présent! K:\Test.lnk
Présent! K:\745347875.lnk
Présent! K:\78925361.lnk
Présent! C:\Users\Pierre\AppData\Local\Temp\1020372.exe
Présent! C:\Users\Pierre\AppData\Local\Temp\4861593.exe
Présent! C:\Users\Pierre\AppData\Local\Temp\6494963.exe
Présent! C:\Users\Pierre\AppData\Local\Temp\8209122.exe
Présent! K:\autorun.inf

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

K:\Autorun.inf -> Vaccin créé par Panda USB Vaccine

################## | E.O.F |

Utilisateur anonyme · Answer

Re Pierre ,

Non ce n'est pas cacaoweb le soucis mais un IrcBot :)
Il à aussi infecté tes supports amovibles comme le signale ta version de UsbFix .

Désinstal ta version de UsbFix puis télécharge cette version sur ton bureau :

http://teamxscript.changelog.fr/UsbFix_Beta.exe

Lance UsbFix_Beta.exe , choisi recherche et post son rapport dans ta prochaine réponse stp .

@ tout de suite .

pierrecitidu91 · Answer

############################## | UsbFix 7.042 Beta | [Recherche]

Utilisateur: Pierre (Administrateur) # PIERRE-PC [System manufacturer System Product Name]
Mis à jour le 13/03/2011 par El Desaparecido / C_XX
Lancé à 21:54:11 | 13/03/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 4095 Mo 
C:\ (%systemdrive%) -> Disque fixe # 465 Go (189 Go libre(s) - 41%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
K:\ -> Disque amovible # 7 Go (7 Go libre(s) - 100%) [] # FAT32

################## | Éléments infectieux |


Présent! C:\Users\Pierre\Microsoft-Driver-1-52-3465-8637-4525
Présent! C:\Users\Pierre\Microsoft-Driver-1-53-2495-3625-9745
Présent! C:\Users\Pierre\Microsoft-Driver-1-98-3485-7625-3745
Présent! C:\Users\Pierre\Microsoft-Driver-1-52-3465-8637-4525\winrsvn.exe

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Microsoft(R) RTSVC Driver
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Microsoft(R) SRDSVC Driver

################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | E.O.F |

Et voila ^^

Utilisateur anonyme · Answer

Re Pierre , 

L'infection est bien détectée ;) Relance UsbFix_Beta et choisis "Supression" 
Ton bureau va disparaitre le temps du nettoyage , c'est normal .
A la fin du scan , il va te proposer d'envoyer un fichier zip , fais le c'est la quarantaine de usbfix . 

Fais moi parvenir le nouveau rapport dans ta prochaine réponse stp .

pierrecitidu91 · Answer

############################## | UsbFix 7.042 Beta | [Suppression]

Utilisateur: Pierre (Administrateur) # PIERRE-PC [System manufacturer System Product Name]
Mis à jour le 13/03/2011 par El Desaparecido / C_XX
Lancé à 22:12:32 | 13/03/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: eldesaparecido@teamxscript.org

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 6000+
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 4095 Mo 
C:\ (%systemdrive%) -> Disque fixe # 465 Go (189 Go libre(s) - 41%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
K:\ -> Disque amovible # 7 Go (7 Go libre(s) - 100%) [] # FAT32

################## | Éléments infectieux |


Supprimé! K:\Ftp test.lnk
Supprimé! K:\Test.lnk
Supprimé! C:\Users\Pierre\Microsoft-Driver-1-52-3465-8637-4525
Supprimé! C:\Users\Pierre\Microsoft-Driver-1-53-2495-3625-9745
Supprimé! C:\Users\Pierre\Microsoft-Driver-1-98-3485-7625-3745
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1345105507-2363724021-2383708830-1001
Supprimé! K:\745347875\Ftp test.exe
Supprimé! K:\745347875\Test.exe
Supprimé! K:\745347875\78925361.exe

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Microsoft(R) RTSVC Driver
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Microsoft(R) SRDSVC Driver

################## | Mountpoints2 |


################## | Listing |

[13/03/2011 - 22:13:28 | D ] 	C:\$RECYCLE.BIN
[13/03/2011 - 21:00:02 | RASHD ] 	C:\Autorun.inf
[16/08/2010 - 19:45:14 | D ] 	C:\Boot
[14/07/2009 - 02:38:58 | RASH | 383562] 	C:\bootmgr
[16/08/2010 - 19:45:15 | N | 8192] 	C:\BOOTSECT.BAK
[13/03/2011 - 18:33:27 | N | 30882] 	C:\ComboFix.txt
[11/03/2011 - 16:50:57 | D ] 	C:\Config.Msi
[09/03/2011 - 17:15:59 | D ] 	C:\CraftBukkitServer
[04/09/2010 - 13:18:16 | D ] 	C:\Dev-Cpp
[14/07/2009 - 06:08:56 | SHD ] 	C:\Documents and Settings
[24/02/2011 - 01:18:42 | D ] 	C:\Downloads
[15/01/2011 - 23:45:20 | D ] 	C:\Fraps
[13/03/2011 - 18:27:06 | ASH | 3220623360] 	C:\hiberfil.sys
[29/09/2010 - 14:41:41 | RD ] 	C:\MSOCache
[04/11/2010 - 23:03:25 | D ] 	C:\Nexon
[16/08/2010 - 21:58:48 | D ] 	C:\NVIDIA
[13/03/2011 - 18:27:08 | ASH | 4294168576] 	C:\pagefile.sys
[13/03/2011 - 17:54:27 | N | 512] 	C:\PhysicalDisk0_MBR.bin
[12/03/2011 - 22:45:38 | D ] 	C:\Program Files
[12/03/2011 - 18:20:20 | D ] 	C:\Program Files (x86)
[12/03/2011 - 22:45:43 | D ] 	C:\ProgramData
[11/12/2010 - 14:55:04 | D ] 	C:\PunkBuster
[13/03/2011 - 18:36:14 | D ] 	C:\Qoobox
[23/02/2011 - 22:45:05 | D ] 	C:\r.u.s.e
[16/08/2010 - 20:00:11 | D ] 	C:\Recovery
[02/02/2011 - 23:55:05 | D ] 	C:\Sierra
[13/03/2011 - 18:17:29 | SHD ] 	C:\System Volume Information
[03/10/2010 - 14:37:07 | D ] 	C:\Temp
[13/03/2011 - 22:13:28 | D ] 	C:\UsbFix
[13/03/2011 - 22:12:34 | A | 2968] 	C:\UsbFix.txt
[13/03/2011 - 21:00:03 | N | 3457059] 	C:\UsbFix_Upload_Me_PIERRE-PC.zip
[30/08/2010 - 18:21:27 | D ] 	C:\Users
[13/03/2011 - 18:33:30 | D ] 	C:\Windows
[12/03/2011 - 21:13:40 | D ] 	K:\Ftp test
[12/03/2011 - 21:26:24 | D ] 	K:\Test
[13/03/2011 - 18:31:02 | N | 3392] 	K:\batstarteur3.bat
[13/03/2011 - 19:57:26 | D ] 	K:\745347875
[13/03/2011 - 19:57:26 | D ] 	K:\78925361
[13/03/2011 - 21:00:04 | RASHD ] 	K:\Autorun.inf

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
K:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PIERRE-PC.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Utilisateur anonyme · Answer

Re Pierre ,

Supprime ces 2 dossiers situé sur ta clé usb : 

K:\745347875 
K:\78925361 

Ils appartiennent à l'infection . 

Tu as envoyé le fichier C:\UsbFix_Upload_Me_PIERRE-PC.zip  ? 
http://www.teamxscript.org/Upload.php

Relance ZHPDiag et fais moi parvenir son rapport pour verif stp via Ci joint : http://www.cijoint.fr/

@ +

pierrecitidu91 · Answer

Depuis tout a lheure ca charge pour l'upload XD je crois pas que ca marche j'ai supprimer les deux fichier jfait un scan de ZHP

Utilisateur anonyme · Answer

Ok pierre ,

Dans ce cas , fais moi parvenir : C:\UsbFix_Upload_Me_PIERRE-PC.zip  via Ci joint aussi stp : http://www.cijoint.fr/

@ Tout de suite .

pierrecitidu91 · Answer

Euh le fichier fait 150 Mo et c'est limité a 8 Mo Xd

http://www.cijoint.fr/cjlink.php?file=cj201103/cijZ1I9ce5.txt

Je peut uploader sur Free si tu veut ?

Utilisateur anonyme · Answer

re, 

tien El Desap  :-) 

quelle bonne surprise  ;-) 

pierre, je vois que tu es entre les mains du consepteur de usbfix :-) 

je vous laisse alors  ;-) 

@ ++ 
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

^^ Amuses toi avec Curl.exe alors ;)

* Une fois l'upload sur free ok :

- Désinstal UsbFix.
- Désinstal Ad-Remover .

- Télécharge OTM de OldTimer sur ton bureau .
* Double-clique sur OTM.exe pour le lancer.
* Copie la liste ci-dessous et colle la dans le cadre de gauche de OTM "Paste Instructions for Items to be Moved".


:registry
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft(R) ZTSVC Driver"=-
"cacaoweb"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HKCU ]

:files
C:\Users\Pierre\AppData\Roaming\cacaoweb
C:\UsbFix.txt
C:\UsbFix_Upload_Me_PIERRE-PC.zip   
C:\Windows\SWXCACLS.exe
C:\Windows\NIRCMD.exe
C:\Windows\SWREG.exe 
C:\Windows\SWSC.exe 
C:\Windows\MBR.exe
C:\Windows\PEV.exe 
C:\Windows\grep.exe
C:\Windows\sed.exe
C:\Windows\zip.exe
C:\Users\Pierre\AppData\Roaming\Temp\Windows live messenger.exe
C:\Users\Pierre\Microsoft-Driver-1-98-3485-7625-3745


* Clique sur "MoveIt!" puis ferme OTM.
* Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel va te demander de redémarrer l'ordinateur.
* Si c'est le cas, accepte en cliquant sur "YES".
* Poste le rapport dans ta prochaine réponse .
* Note: Le rapport est situé dans C:\_OTM\MovedFiles (Le nom du rapport correspond au moment de sa création : date_heure.log).

Utilisateur anonyme · Answer

ton problème vient de deux choses :
Cacaoweb et une infection que tu as du choppé sur irc bot !

moi, j'ai traité cacaoweb !
notre ami El Deap  a viré l'autre infection  ;-)

donc oublie ton truc FTP !

tu vas chopper de nouveau une autre infection !

as tu uploadé le fichier sur Free ?

si oui, aisse le lien pour qu'on puisse récupérer le fichier.

Merci de ta contribution à l'amélioration de usbfix  :-)

pierrecitidu91 · Answer

Merci pour Curle.Exe 
Ca va beaucoup maider.!
Je telecharge ca. (Cacaoweb ny etait pour rien jen suis sur XD ) tkt je plaisante mais c'est vrai que maintenant jai plus de debrideur u_u

pierrecitidu91 · Answer

Error: Unable to interpret <:registry> in the current context! Error: Unable to interpret <[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]> in the current context! Error: Unable to interpret <"Microsoft(R) ZTSVC Driver"=-> in the current context! Error: Unable to interpret <"cacaoweb"=-> in the current context! Error: Unable to interpret <[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HKCU ]> in the current context! ========== FILES ========== File/Folder C:\Users\Pierre\AppData\Roaming\cacaoweb not found. C:\UsbFix.txt moved successfully. File move failed. C:\UsbFix_Upload_Me_PIERRE-PC.zip scheduled to be moved on reboot. C:\Windows\SWXCACLS.exe moved successfully. C:\Windows\NIRCMD.exe moved successfully. C:\Windows\SWREG.exe moved successfully. C:\Windows\SWSC.exe moved successfully. C:\Windows\MBR.exe moved successfully. C:\Windows\PEV.exe moved successfully. C:\Windows\grep.exe moved successfully. C:\Windows\sed.exe moved successfully. C:\Windows\zip.exe moved successfully. File/Folder C:\Users\Pierre\AppData\Roaming\Temp\Windows live messenger.exe not found. File/Folder C:\Users\Pierre\Microsoft-Driver-1-98-3485-7625-3745 not found. OTM by OldTimer - Version 3.1.17.2 log created on 03132011_231841

Utilisateur anonyme · Answer

Re Pierre , 

Hello Electricien , j'avais pas vu que tu avais reposté depuis ^^ Tu veux un p'tit Cacaooooooooooooooooooo................................................. Web , au lait entier et une pointe de vanille ?  

hihihi :):):)  

Pierre , Télécharge ce fichier sur ton bureau , double clic dessus et accepte la fusion avec le registre . 

L'upload free est ok ?  
Toujours des alertes ?  
Ton antivirus est fonctionnel ?
Refais un scan ZHPDiag et on termine ensuite . 
TeamXscript - El Desaparecido

pierrecitidu91 · Answer

http://dl.free.fr/getfile.pl?file=/OtChVj5B Voila le fichier free plus de probleme de virus et Curl marche tres tres bien ^^ euh par contre le fichier ca mouvre une fenetre ...

Utilisateur anonyme · Answer

Ok ,

Thanks pour le fichier sur free :):)

Pour pierre.reg c'est de ma faute , je l'ai pas zippé ^^ prend le ici : http://teamxscript.changelog.fr/Pierre.zip

dézippe le , double clic sur pierre.reg et accepte la fusion , puis lance zhpdiag ...

pierrecitidu91 · Answer

Fusion effectuée

http://www.cijoint.fr/cjlink.php?file=cj201103/cijpHRvE5L.txt

Utilisateur anonyme · Answer

Oki ,

Désinstal ZHPDiag
Désinstal Java(TM) 6 Update 22 & instal la nouvelle version
Redémarre le PC & Supprime OTM.exe Pierre.reg , Pierre.zip de ton bureau
Supprime C:\ _OTM
Et pour finir passe un coup de CCLeaner . 

Bonne soirée et merci pour le zip sur free :)

pierrecitidu91 · Answer

Derien je met resolu et je te remercie pour tout et aussi pour curl

Utilisateur anonyme · Answer

pour moi, un cacaoweb au chocolat s'il te plait :P



*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

O4 - Global Startup: C:\Users\Pierre\Desktop\PureBasic (x64).lnk . (...)  -- C:\Program Files (x86)\PureBasic\PureBasic.exe (.not file.)    => Fichier absent
O8 - Extra context menu item: &Download with I.-A.TÃ©lÃ©charge! - (.not file.) - C:\KAR\KAR_TOUT\KAR_TOUT\KAR\Programmes\Telecharge.htm    
[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task8037] (.Pas de propriÃ©taire.) -- C:\Program Files (x86)\Rising\Rav\RsMain.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{0E0F79DE-EF9E-43AE-96C3-ECCA8A928175}] (.Pas de propriÃ©taire.) -- C:\Program Files (x86)\Elektrogames\Building&Co\BuildingAndCo.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{6BFB4574-17D6-431B-9BAE-0DB0C5D4FA4D}] (.Pas de propriÃ©taire.) -- C:\Users\Pierre\Desktop\NX Quiz.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{785ED376-112F-4B67-92DC-6E562F72959C}] (.Pas de propriÃ©taire.) -- C:\Program Files (x86)\Elektrogames\Building&Co\BuildingAndCo.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{BDBCE431-ED54-410F-A036-20D61CC173AA}] (.Pas de propriÃ©taire.) -- C:\Program Files (x86)\Elektrogames\Building&Co\BuildingAndCo.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{C65CEE95-DA3A-4C5C-9E81-0D712CA6100C}] (.Pas de propriÃ©taire.) -- C:\Users\Pierre\Desktop\NX Quiz.exe (.not file.)    
O43 - CFD: 11/10/2010 - 21:53:26 - [6859] ----D- C:\ProgramDataegid.1986-12.com.adobe
O64 - Services: CurCS - (.not file.) - avgrkx64.sys (AvgRkx64)  .(...) - LEGACY_AVGRKX64    
O64 - Services: CurCS - (.not file.) - AVG Network Redirector x64 (AvgTdiA)  .(...) - LEGACY_AVGTDIA    
O64 - Services: CurCS - C:\Windows\system32\drivers\EagleX64.sys (.not file.) - EagleX64 (EagleX64)  .(...) - LEGACY_EAGLEX64   
O64 - Services: CurCS - C:\Windows\System32\drivers\WPRO_41_1742.sys (.not file.) - WinPcap Packet Driver (WPRO_41_1742) (WPRO_41_1742)  .(...) - LEGACY_WPRO_41_1742    
[HKCU\Software\cacaoweb]   
O53 - SMSR:HKLM\...\startupreg\ClickPotatoLiteSA  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\Program Files (x86)\ClickPotatoLite\bin\10.0.530.0\ClickPotatoLiteSA.exe    
O53 - SMSR:HKLM\...\startupreg\IP Network  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\Program Files (x86)\InstallPedia
etworker.exe   
O87 - FAEL: "TCP Query User{BDC13085-F290-487B-95CE-372084726FD0}C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)    
O87 - FAEL: "UDP Query User{AD26EAF1-CEB1-42B8-BA67-8B4ED49C1DDD}C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)    
O87 - FAEL: "TCP Query User{144394C8-2414-41C7-92A0-034ECF38079E}C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)    
O87 - FAEL: "UDP Query User{4BA96B5F-94BC-48CB-8459-C077CB57E6F7}C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)   
O87 - FAEL: "TCP Query User{9B7CBC8B-BA18-49BE-A449-AEB7BA8EC977}C:\users\pierre\appdata\local	empar$ex01.896atiomaster.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\pierre\appdata\local	empar$ex01.896atiomaster.exe (.not file.)   
O87 - FAEL: "UDP Query User{CB7B0876-1E2A-452B-B156-A6E304C3315F}C:\users\pierre\appdata\local	empar$ex01.896atiomaster.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\pierre\appdata\local	empar$ex01.896atiomaster.exe (.not file.)   
O87 - FAEL: "TCP Query User{F0D60996-C5C7-4969-991E-EF18D50C3B99}C:\users\pierre\downloads	inyumbrella-4.21.05.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\pierre\downloads	inyumbrella-4.21.05.exe (.not file.)    
O87 - FAEL: "UDP Query User{21C65233-A4FB-44A8-AE79-423801EF5A39}C:\users\pierre\downloads	inyumbrella-4.21.05.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\pierre\downloads	inyumbrella-4.21.05.exe (.not file.)    
O87 - FAEL: "{66BD510E-0EE3-4B3A-A6F1-518EB4832382}" |In - Public - P17 - TRUE | .(...) -- C:\users\pierre\downloads	inyumbrella-4.21.05.exe (.not file.)    
O87 - FAEL: "{C1789B3B-02B8-40E8-8F0C-59C49557142C}" |In - Public - P6 - TRUE | .(...) -- C:\users\pierre\downloads	inyumbrella-4.21.05.exe (.not file.)    
O87 - FAEL: "TCP Query User{059A40A6-F8D3-4E86-B5C2-1BADC63A03F8}C:\users\pierre\desktop	inyumbrella-4.21.05.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\pierre\desktop	inyumbrella-4.21.05.exe (.not file.)   
O87 - FAEL: "UDP Query User{6DFA4D26-CDBB-4237-A314-069779ABF73C}C:\users\pierre\desktop	inyumbrella-4.21.05.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\pierre\desktop	inyumbrella-4.21.05.exe (.not file.)   
O87 - FAEL: "{232C40DC-EF12-43DF-AA03-1C1209C26B1E}" |In - Public - P17 - TRUE | .(...) -- C:\users\pierre\desktop	inyumbrella-4.21.05.exe (.not file.)    
O87 - FAEL: "{D7A0709A-DB77-4F5C-B583-06F44CAD2844}" |In - Public - P6 - TRUE | .(...) -- C:\users\pierre\desktop	inyumbrella-4.21.05.exe (.not file.)    
HOSTFIX
---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse

Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

pierrecitidu91 · Answer

Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : 
Run by Pierre at 14/03/2011 00:15:13
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O8 - Extra context menu item: &Download with I.-A.TÃ©lÃ©charge! - (.not file.) - C:\KAR\KAR_TOUT\KAR_TOUT\KAR\Programmes\Telecharge.htm  => Clé absente
O64 - Services: CurCS - (.not file.) - avgrkx64.sys (AvgRkx64) .(...) - LEGACY_AVGRKX64  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - AVG Network Redirector x64 (AvgTdiA) .(...) - LEGACY_AVGTDIA  => Clé supprimée avec succès
O64 - Services: CurCS - C:\Windows\system32\drivers\EagleX64.sys (.not file.) - EagleX64 (EagleX64) .(...) - LEGACY_EAGLEX64  => Clé supprimée avec succès
O64 - Services: CurCS - C:\Windows\System32\drivers\WPRO_41_1742.sys (.not file.) - WinPcap Packet Driver (WPRO_41_1742) (WPRO_41_1742) .(...) - LEGACY_WPRO_41_1742  => Clé supprimée avec succès
HKCU\Software\cacaoweb  => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\ClickPotatoLiteSA [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\Program Files (x86)\ClickPotatoLite\bin\10.0.530.0\ClickPotatoLiteSA.exe  => Clé non supprimée
O53 - SMSR:HKLM\...\startupreg\IP Network [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\Program Files (x86)\InstallPedia
etworker.exe  => Clé non supprimée

========== Valeur(s) du Registre ==========
TCP Query User{BDC13085-F290-487B-95CE-372084726FD0}C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
UDP Query User{AD26EAF1-CEB1-42B8-BA67-8B4ED49C1DDD}C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
TCP Query User{144394C8-2414-41C7-92A0-034ECF38079E}C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
UDP Query User{4BA96B5F-94BC-48CB-8459-C077CB57E6F7}C:\users\pierre\appdataoaming\cacaoweb\cacaoweb.exe  => Valeur supprimée avec succès
TCP Query User{9B7CBC8B-BA18-49BE-A449-AEB7BA8EC977}C:\users\pierre\appdata\local	empar$ex01.896atiomaster.exe  => Valeur supprimée avec succès
UDP Query User{CB7B0876-1E2A-452B-B156-A6E304C3315F}C:\users\pierre\appdata\local	empar$ex01.896atiomaster.exe  => Valeur supprimée avec succès
TCP Query User{F0D60996-C5C7-4969-991E-EF18D50C3B99}C:\users\pierre\downloads	inyumbrella-4.21.05.exe  => Valeur supprimée avec succès
UDP Query User{21C65233-A4FB-44A8-AE79-423801EF5A39}C:\users\pierre\downloads	inyumbrella-4.21.05.exe  => Valeur supprimée avec succès
{66BD510E-0EE3-4B3A-A6F1-518EB4832382}  => Valeur supprimée avec succès
{C1789B3B-02B8-40E8-8F0C-59C49557142C}  => Valeur supprimée avec succès
TCP Query User{059A40A6-F8D3-4E86-B5C2-1BADC63A03F8}C:\users\pierre\desktop	inyumbrella-4.21.05.exe  => Valeur supprimée avec succès
UDP Query User{6DFA4D26-CDBB-4237-A314-069779ABF73C}C:\users\pierre\desktop	inyumbrella-4.21.05.exe  => Valeur supprimée avec succès
{232C40DC-EF12-43DF-AA03-1C1209C26B1E}  => Valeur supprimée avec succès
{D7A0709A-DB77-4F5C-B583-06F44CAD2844}  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\ProgramDataegid.1986-12.com.adobe  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\users\pierre\desktop\purebasic (x64).lnk  => Supprimé et mis en quarantaine
c:\program files (x86)\purebasic\purebasic.exe  => Supprimé et mis en quarantaine
c:\kar\kar_tout\kar_tout\kar\programmes	elecharge.htm  => Supprimé et mis en quarantaine
c:\users\pierre\desktop
x quiz.exe (.not file.)  => Fichier absent

========== Fichier HOSTS ==========
Le fichier Hosts est sain

========== Tache planifiée ==========
Task : RunAsStdUser Task8037  => Tâche supprimée avec succès
Task : {0E0F79DE-EF9E-43AE-96C3-ECCA8A928175}  => Tâche supprimée avec succès
Task : {6BFB4574-17D6-431B-9BAE-0DB0C5D4FA4D}  => Tâche supprimée avec succès
Task : {785ED376-112F-4B67-92DC-6E562F72959C}  => Tâche supprimée avec succès
Task : {BDBCE431-ED54-410F-A036-20D61CC173AA}  => Tâche supprimée avec succès
Task : {C65CEE95-DA3A-4C5C-9E81-0D712CA6100C}  => Tâche supprimée avec succès


========== Récapitulatif ==========
8 : Clé(s) du Registre
14 : Valeur(s) du Registre
1 : Dossier(s)
4 : Fichier(s)
1 : Fichier HOSTS
6 : Tache planifiée


End of the scan

Utilisateur anonyme · Answer

désinstalle Java 6 Update 22 et superantispyware de ton pc,

retélécharge la dernière version depuis son site

il y a encore quelque lignes à traiter,

peut tu me repasser un nouveau zhpdiag s'il te plait ?

pierrecitidu91 · Answer

Et voila jai desinstaller et mis a jour et aussi desinstaller Superantispyware

http://www.cijoint.fr/cjlink.php?file=cj201103/cijeyqDidJ.txt

Utilisateur anonyme · Answer

*	Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 
O53 - SMSR:HKLM\...\startupreg\HKCU  [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\Users\Pierre\AppData\Roaming\Temp\Windows live messenger.exe
O4 - Global Startup: C:\Users\Pierre\Desktop\Free Video to Flash Converter.lnk . (...)  -- C:\Program Files (x86)\DVDVideoSoft\Free Video to Flash Converter\FreeVideoToFlashConverter.exe (.not file.)   
O8 - Extra context menu item: &Download with I.-A.TÃ©lÃ©charge! - (.not file.) - C:\KAR\KAR_TOUT\KAR_TOUT\KAR\Programmes\Telecharge.htm    
O43 - CFD: 12/03/2011 - 22:45:44 - [0] ----D- C:\ProgramData\SUPERAntiSpyware.com   
O43 - CFD: 14/03/2011 - 00:29:40 - [977072] ----D- C:\Program Files (x86)\Emsisoft Anti-Malware    
O4 - HKLM\..\Wow6432Node\RunOnce: [OTM] . (.OldTimer Tools - Pas de description.) -- C:\Users\Pierre\Downloads\OTM.exe    
O4 - HKLM\..\Wow6432Node\Run: [NokiaMServer] ClÃ© orpheline    




---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse

Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

















Rends toi sur ce site :

 
https://www.virustotal.com/gui/ 

clique sur parcourir et cherche ce fichier :



C:\Windows\system32\drivers\leafnets.sys
C:\program files (x86)\vendetta beta\imperator.exe
C:\program files (x86)\vendetta\vendetta.exe
C:\r.u.s.e\uplaybrowser\uplaybrowser.exe    
C:\program files (x86)\eidos interactive\mucky foot\startopia\startopia.exe


clique sur send file 
un rapport va s'élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message. 
Merci

pierrecitidu91 · Answer

Rapport ; Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : 
Run by Pierre at 14/03/2011 01:00:54
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O53 - SMSR:HKLM\...\startupreg\HKCU [Key] . (.Pas de propriÃ©taire - Pas de description.) -- C:\Users\Pierre\AppData\Roaming\Temp\Windows live messenger.exe  => Clé non supprimée
O8 - Extra context menu item: &Download with I.-A.TÃ©lÃ©charge! - (.not file.) - C:\KAR\KAR_TOUT\KAR_TOUT\KAR\Programmes\Telecharge.htm  => Clé absente

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Wow6432Node\RunOnce: [OTM] . (.OldTimer Tools - Pas de description.) -- C:\Users\Pierre\Downloads\OTM.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Wow6432Node\Run: [NokiaMServer] ClÃ© orpheline  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\SUPERAntiSpyware.com  => Supprimé et mis en quarantaine
C:\Program Files (x86)\Emsisoft Anti-Malware  => Fichier supprimé au reboot

========== Fichier(s) ==========
c:\users\pierre\appdataoaming	emp\windows live messenger.exe  => Supprimé et mis en quarantaine
c:\users\pierre\desktop\free video to flash converter.lnk  => Supprimé et mis en quarantaine
c:\program files (x86)\dvdvideosoft\free video to flash converter\freevideotoflashconverter.exe  => Supprimé et mis en quarantaine
c:\kar\kar_tout\kar_tout\kar\programmes	elecharge.htm  => Supprimé et mis en quarantaine
c:\users\pierre\downloads\otm.exe  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Dossier(s)
5 : Fichier(s)


End of the scan

Tout ces fichiers sont des jeux...

Le premier est introuvable

Le second 
http://www.virustotal.com/file-scan/report.html?id=ebe5d34fe7415ada90584b6919b815cb2de07cb9745c2c905c5d0b5c89af9e34-1300060859

Le troisieme
http://www.virustotal.com/file-scan/report.html?id=7ea4ccd969d1cf43458a32e9263122459e3a795b970a9f119e98feea2e067b9a-1300061056

le quatrieme
http://www.virustotal.com/file-scan/report.html?id=2b6fa9fef846ab5de926309800804f35cafbd438e9c70bc104738e362d79ab46-1295765048

le cinquieme
http://www.virustotal.com/file-scan/report.html?id=6707dcbd3ea6bc21475e84d591e1702b4cfc304b7fff8183abedf12af6fedd2e-1276281911

Le quatrieme et cinquieme etaient deja posté apparament^^ voila bon si jte repond demain c'est que jme suis endormis ^^ merci pour tout ^^

Utilisateur anonyme · Answer

bonjour,
on términe :

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »

.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner

tuto installation & nettoyage : 
https://www.donnemoilinfo.com/tuto/CCleaner/


*	pour supprimer les outils de désinfection
:
Télecharge Delfix sur ton bureau :

http://www.teamxscript.org/too/Xplode/DelFix.exe

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

*	Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
 
Pour Windows 7 :
 
http://www.jenyburn.com/home/comment-desactiver-la-restauration-du-systeme-sous-windows-7


*	fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

pierrecitidu91 · Answer

Euh j'ai fait supprimer avec delfix mais j'ai pas eu de rapport u_u
Mais tout les programmes, on eté supprimer je scan maintenant avec antivir.

Utilisateur anonyme · Answer

bonsoir,
on attend le résultat de scan  :-)

pierrecitidu91 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijdYCBcfb.txt

voila

Utilisateur anonyme · Answer

bonjour, 
tu n'as pas viré les anciennes versionde java, d'ou la détection d'avira !!! 


crée un nouveau point de restauration système, ça peut servire  :P 

sur ce, bon surf  ;-)



O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire. Une fois ton problème passé, coche ton message comme résolu.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Virus Msn

76 réponses

Discussions similaires

Newsletters