Des fenetres de pub qui s'ouvrent toutes seul [Résolu]

Bonjour,

* Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « chercher »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

Merci pour la réponse,

Voici le rapport:

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:28:00 le 16/08/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
JéRéM'@R2D2 ( )

============== RECHERCHE ==============

Service: "Bandoo Coordinator" Présent

Fichier trouvé: C:\WINDOWS\system32\ConduitEngine.tmp
Dossier trouvé: C:\Documents and Settings\JéRéM'\Application Data\PCtuto
Dossier trouvé: C:\Documents and Settings\JéRéM'\Application Data\Bandoo
Dossier trouvé: C:\Documents and Settings\All Users\Application Data\Bandoo
Dossier trouvé: C:\Program Files\Bandoo
Dossier trouvé: C:\Documents and Settings\JéRéM'\Local Settings\Application Data\Conduit
Dossier trouvé: C:\Documents and Settings\JéRéM'\Application Data\PriceGong
Dossier trouvé: C:\Documents and Settings\JéRéM'\Local Settings\Application Data\PCTuto
Dossier trouvé: C:\Program Files\PCTuto

Clé trouvée: HKLM\Software\Classes\CLSID\{074E4EFE-81BB-4EA4-866E-082CB0E01070}
Clé trouvée: HKLM\Software\Classes\AppID\{EDE2C296-2458-4E3B-A846-4B512C0703B5}
Clé trouvée: HKLM\Software\Classes\CLSID\{0CE5B352-9D9C-41E1-9551-FCCD92820217}
Clé trouvée: HKLM\Software\Classes\CLSID\{167B2B5F-2757-434A-BBDA-2FDB2003F14F}
Clé trouvée: HKLM\Software\Classes\CLSID\{2E9A60EA-5554-49C3-BC9D-D0404DBACC62}
Clé trouvée: HKLM\Software\Classes\CLSID\{3E63C9BC-DD51-4E83-ABA6-B350EAD28531}
Clé trouvée: HKLM\Software\Classes\CLSID\{44CFFEF4-E7E1-44BD-B1F5-29F828ADA1B8}
Clé trouvée: HKLM\Software\Classes\CLSID\{EF2B6317-C367-401B-83B8-80302D6588A7}
Clé trouvée: HKLM\Software\Classes\CLSID\{F5379B4B-24D8-432A-9A96-BE75EE5117DB}
Clé trouvée: HKLM\Software\Classes\CLSID\{F7FB2BC4-6C27-4EAC-B5E2-037B71FDE101}
Clé trouvée: HKLM\Software\Classes\CLSID\{FD53FE35-4368-4B71-89D6-F29F3DB29DF1}
Clé trouvée: HKLM\Software\Classes\Interface\{33DDFC61-F531-4982-8C32-4212B7835D44}
Clé trouvée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé trouvée: HKLM\Software\Classes\Interface\{A9005ED5-4A1D-4606-A4DF-1A25E7D7B417}
Clé trouvée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé trouvée: HKLM\Software\Classes\TypeLib\{4410C118-B23C-406C-9F52-9CDABD90A5EA}
Clé trouvée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé trouvée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator
Clé trouvée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator.1
Clé trouvée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI
Clé trouvée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI.1
Clé trouvée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult
Clé trouvée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult.1
Clé trouvée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier
Clé trouvée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier.1
Clé trouvée: HKLM\Software\Classes\BandooCore.BandooCore
Clé trouvée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé trouvée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé trouvée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé trouvée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé trouvée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé trouvée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé trouvée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé trouvée: HKLM\Software\Classes\Conduit.Engine
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2851639
Clé trouvée: HKLM\Software\Classes\AppID\BandooCoordinator.EXE
Clé trouvée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé trouvée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé trouvée: HKLM\Software\bandoo
Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKCU\Software\DataMngr
Clé trouvée: HKCU\Software\PriceGong

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://go.microsoft.com/fwlink/?LinkId=69157
HKCU_Toolbar\WebBrowser|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)
HKLM_Toolbar|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 16/08/2011 11:28:05 (1083 Octet(s))

Fin à: 11:28:22, 16/08/2011

============== E.O.F ==============

Re,
1/
/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

2/
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Recherche ]
Patiente...
Poste le rapport qui apparait en fin de recherche.

@+

_ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Alors voilà le rapport pour Ad-Remover:

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:36:06 le 16/08/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
JéRéM'@R2D2 ( )

============== ACTION(S) ==============

Service: "Bandoo Coordinator" Stoppé et supprimé

Fichier supprimé: C:\WINDOWS\system32\ConduitEngine.tmp
Dossier supprimé: C:\Documents and Settings\JéRéM'\Application Data\PCtuto
Dossier supprimé: C:\Documents and Settings\JéRéM'\Application Data\Bandoo
Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Bandoo
Dossier supprimé: C:\Program Files\Bandoo
Dossier supprimé: C:\Documents and Settings\JéRéM'\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Documents and Settings\JéRéM'\Application Data\PriceGong
Dossier supprimé: C:\Documents and Settings\JéRéM'\Local Settings\Application Data\PCTuto
Dossier supprimé: C:\Program Files\PCTuto

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{074E4EFE-81BB-4EA4-866E-082CB0E01070}
Clé supprimée: HKLM\Software\Classes\AppID\{EDE2C296-2458-4E3B-A846-4B512C0703B5}
Clé supprimée: HKLM\Software\Classes\CLSID\{0CE5B352-9D9C-41E1-9551-FCCD92820217}
Clé supprimée: HKLM\Software\Classes\CLSID\{167B2B5F-2757-434A-BBDA-2FDB2003F14F}
Clé supprimée: HKLM\Software\Classes\CLSID\{2E9A60EA-5554-49C3-BC9D-D0404DBACC62}
Clé supprimée: HKLM\Software\Classes\CLSID\{3E63C9BC-DD51-4E83-ABA6-B350EAD28531}
Clé supprimée: HKLM\Software\Classes\CLSID\{44CFFEF4-E7E1-44BD-B1F5-29F828ADA1B8}
Clé supprimée: HKLM\Software\Classes\CLSID\{EF2B6317-C367-401B-83B8-80302D6588A7}
Clé supprimée: HKLM\Software\Classes\CLSID\{F5379B4B-24D8-432A-9A96-BE75EE5117DB}
Clé supprimée: HKLM\Software\Classes\CLSID\{F7FB2BC4-6C27-4EAC-B5E2-037B71FDE101}
Clé supprimée: HKLM\Software\Classes\CLSID\{FD53FE35-4368-4B71-89D6-F29F3DB29DF1}
Clé supprimée: HKLM\Software\Classes\Interface\{33DDFC61-F531-4982-8C32-4212B7835D44}
Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé supprimée: HKLM\Software\Classes\Interface\{A9005ED5-4A1D-4606-A4DF-1A25E7D7B417}
Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4410C118-B23C-406C-9F52-9CDABD90A5EA}
Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator.1
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI.1
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult.1
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier.1
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2851639
Clé supprimée: HKLM\Software\Classes\AppID\BandooCoordinator.EXE
Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé supprimée: HKLM\Software\bandoo
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\DataMngr
Clé supprimée: HKCU\Software\PriceGong

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)
HKLM_Toolbar|{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} (C:\Program Files\Canon\Easy-WebPrint EX\ewpexhlp.dll)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 52 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 16/08/2011 11:36:08 (1157 Octet(s))
C:\Ad-Report-SCAN[1].txt - 16/08/2011 11:28:05 (5433 Octet(s))

Fin à: 11:36:30, 16/08/2011

============== E.O.F ==============

Et voilà celui de Adw Cleaner:

# AdwCleaner v1.0 - Rapport créé le 16/08/2011 à 11:43:42
# Mis à jour le 15/08/11 à 15h30 par Xplode
# Système d'exploitation : Microsoft Windows XPService Pack 3 (32 bits)
# Nom d'utilisateur : JéRéM' - R2D2 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\JéRéM'\Local Settings\Temporary Internet Files\Content.IE5\BO6F9DBV\AdwCleaner[1].exe
# Option [Recherche]


***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Présente : HKCU\Software\PCTuto
Clé Présente : HKLM\SOFTWARE\PCTuto
Clé Présente : HKLM\SOFTWARE\Classes\AppID\PCTutoBHO.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{759F1421-4D31-4c1f-8C51-E4956A037676}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1
Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [AutoUpdater]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1053 octets] - [16/08/2011 11:43:42]

########## EOF - C:\AdwCleaner[R1].txt - [1181 octets] ##########

1/
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.

2/ Ensuite

Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :

http://telechargement.zebulon.fr/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indisponible:
http://www.cijoint.fr/

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


Hébergement de rapport sur pjjoint.malekal.com

* Rends toi sur http://pjjoint.malekal.com/
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
*Clique sur le bouton Envoyer
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.

Désolé pour le retard, j'ai un petit de 4 mois qui avait très faim !



Voila le rapport de AdwCleaner:

# AdwCleaner v1.0 - Rapport créé le 16/08/2011 à 11:55:58
# Mis à jour le 15/08/11 à 15h30 par Xplode
# Système d'exploitation : Microsoft Windows XPService Pack 3 (32 bits)
# Nom d'utilisateur : JéRéM' - R2D2 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\JéRéM'\Local Settings\Temporary Internet Files\Content.IE5\BO6F9DBV\AdwCleaner[1].exe
# Option [Suppression]


***** [KillNav] *****


***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\PCTuto
Clé Supprimée : HKLM\SOFTWARE\PCTuto
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\PCTutoBHO.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{759F1421-4D31-4c1f-8C51-E4956A037676}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [AutoUpdater]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1182 octets] - [16/08/2011 11:43:42]
AdwCleaner[S1].txt - [1148 octets] - [16/08/2011 11:55:58]

########## EOF - C:\AdwCleaner[S1].txt - [1276 octets] ##########





Et voici le lien pour ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201108/cija6PJlrG.txt

Re,

Oh, la priorité est au petit bien sure :)

1/
Tu désinstalles ces logiciels sources d'infections :

PCTuto Avast 2.0
Logiciel: UpdatePCTuto 2.0

2/ Ensuite

* Télécharge OTM (OldTimer) sur ton Bureau

ICI >> OTM (OldTimer)
* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :



:files
C:\Documents and Settings\JéRéM'\Application Data\searchquband

:Reg
[-HKLM\Software\Classes\Interface\{01222E21-6BD0-4EB3-94F1-967EB09CCED5}]
[-HKLM\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}]

:commands
[emptytemp]
[Reboot]



- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

J'ai voulu désinstaller Pctuto Avast et Update Pctuto avec ajout\suppressio de programmes, il m'a dit qu'ils étaient peut etre déja désinstallés, j'ai utilisé la fonstion rechercher pour voir s'ils étaient encore par là, ils semblent etre en quarantaine sous Adremover.

Est que je les supprime via AdRemover ou je les sélectionne dans rechercher et clique droit pour les supprimer ?

Re,

Non, tu peux passer à l'étape 2/

@+

Re,

Voilà le rapport:




All processes killed
========== FILES ==========
C:\Documents and Settings\JéRéM'\Application Data\searchquband folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Classes\Interface\{01222E21-6BD0-4EB3-94F1-967EB09CCED5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{01222E21-6BD0-4EB3-94F1-967EB09CCED5}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB5CEE80-030A-4ED8-8E20-454E9C68380F}\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes

User: JéRéM'
->Temp folder emptied: 90868560 bytes
->Temporary Internet Files folder emptied: 29567022 bytes
->Java cache emptied: 120066 bytes
->Flash cache emptied: 57245 bytes

User: JéRéMapos

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 48673113 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2705211 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 147939 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 39060650 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 202,00 mb


OTM by OldTimer - Version 3.1.18.0 log created on 08162011_130702

Files moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...

1/
On va virer avec OTM les deux clés de registre de PC Tuto :

* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :



:Reg
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PCTuto Avast_is1]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\UpdatePCTuto_is1]



- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

2/ Ensuite

Lance Malwarebytes pour une analyse complète après avoir effectué la mise à jour puis poste le rapport stp


@+

Voilà le rapport d'OTM:

========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\PCTuto Avast_is1\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\UpdatePCTuto_is1\ not found.

OTM by OldTimer - Version 3.1.18.0 log created on 08162011_133856


J'ai lancé un examen complet de malware, j'attend qu'il se termine.

D'accord, on attend le résultat de l'analyse.

*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
* S'il t' es demandé de redémarrer, clique sur "oui "
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici stp

_ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Ce fut long mais utile, 32 fichiers infectés visiblement:


Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7477

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/08/2011 14:48:50
mbam-log-2011-08-16 (14-48-50).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 385436
Temps écoulé: 1 heure(s), 7 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 31

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\facetheme (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\ad-remover\quarantine\C\documents and settings\JéRéM'\application data\PCtuto\updatepctuto\updatepctuto.exe.vir (PUP.Tuto4PC) -> Not selected for removal.
c:\program files\ad-remover\quarantine\C\documents and settings\JéRéM'\application data\PCtuto\updatepctuto\Software\itsTV\4.0.0.2172173\sufr.exe.vir (Adware.Agent) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\documents and settings\JéRéM'\application data\PCtuto\updatepctuto\Software\itsTV\4.0.0.2262263\su_fr.exe.vir (Adware.Agent) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\documents and settings\JéRéM'\application data\PCtuto\updatepctuto\Software\itsTV\4.0.0.2272271\su_fr.exe.vir (Adware.Agent) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\documents and settings\JéRéM'\application data\PCtuto\updatepctuto\Software\itsTV\4.0.0.2272272\su_fr.exe.vir (Adware.Agent) -> Quarantined and deleted successfully.
c:\program files\Object\facetheme_uninstall.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107044.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107033.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107034.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107035.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107036.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107037.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107038.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107039.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107040.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107041.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107042.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107043.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107045.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107046.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107047.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107048.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP343\A0107049.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP345\A0107824.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP345\A0107825.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP345\A0107826.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP345\A0107828.exe (PUP.Tuto4PC) -> Not selected for removal.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP306\A0099637.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP306\A0099651.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP306\A0099652.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{64b0842b-0ae2-4591-a53d-1921272d3c31}\RP306\A0099653.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Cette ligne :
c:\program files\ad-remover\quarantine\C\documents and settings\JéRéM'\application data\PCtuto\updatepctuto\updatepctuto.exe.vir (PUP.Tuto4PC) -> Not selected for removal.

n'a pas été selectionné pour être supprimé, on va relancer Malwarebytes après...

Prépare maintenant un nouveau rapport ZHPDiag stp

@+

Re:


http://www.cijoint.fr/cjlink.php?file=cj201108/cijz6xvEpu.txt


Voici le nouveau rapport ZHPDiag.

Re,

1/
Désinstalle Spybot, il est inutile et dépassé!

2/
* Télécharge sur le bureau RogueKiller (par tigzy)
http://www.sur-la-toile.com/RogueKiller/


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

3/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


O20 - AppInit_DLLs: . (...) - c:\progra~1\bandoo\bndhook.dll (.not file.) => Infection PUP (Adware.Bandoo)
[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.) => Lavasoft AB Ad-Aware
FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

RogueKiller V5.3.1 [06/08/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: JéRéM' [Droits d'admin]
Mode: Recherche -- Date : 16/08/2011 17:35:48

Processus malicieux: 0

Entrees de registre: 1
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]


Termine : << RKreport[1].txt >>
RKreport[1].txt



Et le rapport ZHPFix:

Rapport de ZHPFix 1.12.3354 par Nicolas Coolman, Update du 14/08/2011
Fichier d'export Registre :
Run by JéRéM' at 16/08/2011 17:38:26
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Valeur(s) du Registre ==========
SUPPRIME FirewallRaz (SP) : C:\Program Files\THQ\Dawn Of War\W40k.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\THQ\Dawn Of War\W40kWA.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Electronic Arts\EADM\Core.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Steam\SteamApps\common\shattered_horizon\client_exe\shattered_horizon.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Anno 1701\Anno1701.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\Steam\SteamApps\common\warincbattlezone\WarInc.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Elément(s) de donnée du Registre ==========
SUPPRIME AppInit: \progra~1\bandoo\bndhook.dll

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 2
SUPPRIME Flash Cookies: 1

========== Fichier(s) ==========
ABSENT File: \progra~1\bandoo\bndhook.dll
SUPPRIME Temporaires Windows: : 34
SUPPRIME Flash Cookies: 0

========== Tache planifiée ==========
SUPPRIME Task: Ad-Aware Update (Weekly)


========== Récapitulatif ==========
7 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
3 : Fichier(s)
1 : Tache planifiée


End of the scan in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 16/08/2011 17:38:26







Ca Fait faire de sacré manip... Le pc était tant vérolé que ca ??

Et je vois des sexlinks et compagnie dans le rapport RK, c'est bien ce que je pense...? Mon petit frere squatte chez moi depuis le debut des vacances, j'imagine qu'il doit pas faire que jouer aux jeux...

C'est vraie fais attention donc :)

Relance RogueKiller puis tape 2 ensuite 3

J'attend 2 rapports de RK pour les options 2 et 3


@+