Virus de redirection Google ! [Résolu]

Salut,

1/
Télécharge AdwCleaner (merci à Xplode)
Ou ADWCleaner ici
Lance AdwCleaner
Clique sur le bouton [ Recherche ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

2/
Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :

http://telechargement.zebulon.fr/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
Si indisponible, tu peux essayer avec l'un de ces liens:
http://dl.free.fr
http://www.toofiles.com/fr/documents-upload.html
http://www.terafiles.net/
http://www.casimages.com
http://pjjoint.malekal.com/

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Hébergement de rapport sur cijoint.fr/

Rend toi sur ce site : http://www.cijoint.fr/
Clique sur Choisissez un fichier
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj44123/cijSKAP5fU.txt
est ajouté dans la page. Copie ce lien dans ta réponse.

Salut Fish66, merci de m'aider !

Voici le rapport AdwCleaner. Je passe à l'étape 2 de suite.



# AdwCleaner v1.310 - Rapport créé le 13/10/2011 à 14:25:21
# Mis à jour le 07/10/11 à 19h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : marie - PC-DE-MARIE (Administrateur)
# Exécuté depuis : C:\Users\marie\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Users\marie\AppData\Roaming\cacaoweb

***** [Registre] *****

Clé Présente : HKCU\Software\cacaoweb

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6002.18005

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v7.0.1 (fr)

Profil : 3iuijebn.default
Fichier : C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\3iuijebn.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [926 octets] - [13/10/2011 14:25:21]

########## EOF - C:\AdwCleaner[R1].txt - [1053 octets] ##########

Re,

Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

Re,

Voici le rapport :

# AdwCleaner v1.310 - Rapport créé le 13/10/2011 à 14:34:13
# Mis à jour le 07/10/11 à 19h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : marie - PC-DE-MARIE (Administrateur)
# Exécuté depuis : C:\Users\marie\Desktop\adwcleaner.exe
# Option [Suppression]


***** [KillNav] *****

# firefox.exe [PID:4640] -> Tué
# firefox.exe [PID:4640] -> Tué

***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\marie\AppData\Roaming\cacaoweb

***** [Registre] *****

Clé Supprimée : HKCU\Software\cacaoweb

***** [Navigateurs] *****

-\\ Internet Explorer v7.0.6002.18005

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v7.0.1 (fr)

Profil : 3iuijebn.default
Fichier : C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\3iuijebn.default\prefs.js

C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\3iuijebn.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1054 octets] - [13/10/2011 14:25:21]
AdwCleaner[S1].txt - [1182 octets] - [13/10/2011 14:34:13]

*************************

Dossier Temporaire : 3 dossier(s) et 14 fichier(s) supprimé(s)

########## EOF - C:\AdwCleaner[S1].txt - [1405 octets] ##########


Je passe à l'étape 2 (ZHPDiag) ??

Re,

Oui bien sure j'attend ce rapport pour faire un diagnostic de ton PC!

Ok !

Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201110/cij8f7VB4J.txt

Re,

* Télécharge sur le bureau RogueKiller (par tigzy)
http://www.sur-la-toile.com/RogueKiller/


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

@+

Re,

Je le lance de suite. Comme je ne sais pas combien de temps ça va prendre, je voulais juste te dire que je dois m'absenter environ 1h.

Je poste le rapport dès que je reviens.

J'apprécie ton aide !

A tout à l'heure

En fait c'était très rapide donc je te poste le rapport avant de m'absenter :

RogueKiller V6.1.2 [07/10/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: marie [Droits d'admin]
Mode: Recherche -- Date : 13/10/2011 14:52:21

Processus malicieux: 2
[ROGUE ST] 639.exe -- c:\program files\internet explorer\4382\639.exe -> KILLED [TermProc]
[SUSP PATH] 65F43.exe -- c:\users\marie\appdata\roaming\20554\65f43.exe -> KILLED [TermProc]

Entrees de registre: 13
[SUSP PATH] HKCU\[...]\Run : vasja (C:\Users\marie\AppData\Local\Temp\wpbt0.dll) -> FOUND
[SUSP PATH] HKLM\[...]\Run : 639.exe (C:\Program Files\Internet Explorer\4382\639.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-226889588-1243383199-3135563048-1000[...]\Run : vasja (C:\Users\marie\AppData\Local\Temp\wpbt0.dll) -> FOUND
[SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Users\marie\AppData\Roaming\20554\65F43.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\marie\AppData\Local\Temp\dwm.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-226889588-1243383199-3135563048-1000[...]\Winlogon : Shell (explorer.exe,C:\Users\marie\AppData\Roaming\20554\65F43.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-226889588-1243383199-3135563048-1000[...]\Windows : Load (C:\Users\marie\AppData\Local\Temp\dwm.exe) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:59535) -> FOUND
[HJ] {20D04FE0-3AEA-1069-A2D8-08002B30309D}\ 1: -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichiers / Dossiers particuliers:

Driver: [LOADED]

Fichier HOSTS:
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

Re,

Relance RogueKiller puis tapes 2 ensuite 4 et poste stp les deux rapports correspondant à ces 2 options

@+

Allez, je poste et je reviens dans 1h, encore merci !!


Rapport pour le 2 :

RogueKiller V6.1.2 [07/10/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: marie [Droits d'admin]
Mode: Suppression -- Date : 13/10/2011 15:00:27

Processus malicieux: 2
[ROGUE ST] 639.exe -- c:\program files\internet explorer\4382\639.exe -> KILLED [TermProc]
[SUSP PATH] 65F43.exe -- c:\users\marie\appdata\roaming\20554\65f43.exe -> KILLED [TermProc]

Entrees de registre: 10
[SUSP PATH] HKCU\[...]\Run : vasja (C:\Users\marie\AppData\Local\Temp\wpbt0.dll) -> DELETED
[SUSP PATH] HKLM\[...]\Run : 639.exe (C:\Program Files\Internet Explorer\4382\639.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe,C:\Users\marie\AppData\Roaming\20554\65F43.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\marie\AppData\Local\Temp\dwm.exe) -> DELETED
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:59535) -> NOT REMOVED, USE PROXYFIX
[HJ] {20D04FE0-3AEA-1069-A2D8-08002B30309D}\ 1: -> REPLACED (0)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichiers / Dossiers particuliers:

Driver: [LOADED]

Fichier HOSTS:
::1 localhost


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt




Rapport pour le 4 :

RogueKiller V6.1.2 [07/10/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: marie [Droits d'admin]
Mode: Proxy RAZ -- Date : 13/10/2011 15:00:58

Processus malicieux: 0

Driver: [LOADED]

Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (http=127.0.0.1:59535) -> DELETED
[PROXY FF] 3iuijebn.default\ 127.0.0.1:59535 -> DELETED

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Re,

* Lance Malwarebytes' Anti-Malware
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

* Copie/colle le rapport dans le prochain message


Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

Re,

MBAM refuse de rechercher une mise à jour, erreur code 732 (0, 0)

Pardon je n'avais pas lu la dernière phrase.

Je fais ça de suite.

J'ai tenté l'installation manuelle. J'ai installé MBAM rules.

Puis j'essaye d'ouvrir MBAM mais je ne peux plus accéder à l'interface, le même message d'erreur s'affiche.

Que me conseilles-tu?

Re,

Désinstalle complètement Malwarebytes via panneau de configuration,
ensuite faic ceci stp :

/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut
http://www.malwarebytes.org/mwb-download.php
* Lance Malwarebytes' Anti-Malware
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

* Copie/colle le rapport dans le prochain message


Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

Re,

Des éléments n'ont pas pu être supprimés.

Voici le rapport :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7939

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

13/10/2011 21:17:34
mbam-log-2011-10-13 (21-17-34).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|L:\|M:\|N:\|)
Elément(s) analysé(s): 305800
Temps écoulé: 1 heure(s), 9 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 3
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
c:\Users\marie\AppData\Roaming\20554\65F43.exe (Backdoor.Bot) -> 1796 -> Unloaded process successfully.
c:\Users\marie\AppData\Roaming\microsoft\4382\639.exe (Backdoor.Bot) -> 1964 -> Unloaded process successfully.
c:\Users\marie\AppData\Roaming\54A06\lvvm.exe (Backdoor.Bot) -> 752 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\639.exe (Backdoor.Bot) -> Value: 639.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\639.exe (Backdoor.Bot) -> Value: 639.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.CycBot) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.CycBot) -> Value: conhost -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\Users\marie\AppData\Roaming\54A06\lvvm.exe) Good: () -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\marie\AppData\Roaming\20554\65F43.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\microsoft\4382\639.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\54A06\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\program files\internet explorer\4382\639.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\program files\54A06\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\program files\steganos security suite 2007\dllregister.exe (Adware.Agent.ZGen) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\wmplayer.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\AppData\Roaming\20554\20554\20554\65F43.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\Desktop\rk_quarantine\639.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\marie\Desktop\rk_quarantine\65f43.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.

Re,

mbam a fait son trvail :-)

Relance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag (à héberger en donnant l'adresse du lien)

@+

Re,

Ok !

Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201110/cijyMmSaVf.txt

Bonjour,

1/
Est ce que tu n'as pas un antivirus qui marche correctement?

Je vois des traces d'AVG8 et ESET on line !

2/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )



OPT:O4 - Global Startup: C:\Users\marie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Winamp.lnk . (.Nullsoft.) -- C:\Program Files\Winamp\winamp.exe => Unknown owner®.
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:59535
O53 - SMSR:HKLM\...\startupreg\cacaoweb [Key] . (...) -- C:\Users\marie\AppData\Roaming\cacaoweb\cacaoweb.exe (.not file.) => Infection PUP (PUP.CacaoWeb)
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\cacaoweb]
C:\Users\marie\AppData\Roaming\Mozilla\Firefox\Profiles\3iuijebn.default\user.js (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{2A450D57-F50B-48C2-9212-35E74DE6ADDC}] (...) -- C:\Program Files\EA GAMES\Les Sims 2 H&M© Fashion Kit\CSBin\PackageInstaller.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{2C09E5D0-A3C5-4E86-9DCE-D3D6B70DAA6B}] (...) -- C:\Users\marie\Desktop\Nouveau dossier\WinRar.V3.71+Keygen+PatchFR.by-JEB\keygen.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware
O43 - CFD: 29/06/2011 - 22:41:22 - [0] ----D- C:\Users\marie\AppData\Local\{12BD5ED6-09E5-46F8-928B-3297A27C8550}
O43 - CFD: 29/08/2011 - 14:09:22 - [0] ----D- C:\Users\marie\AppData\Local\{1EBC8425-28F9-4B9A-AAEF-070EA39F6B84}
O43 - CFD: 27/04/2011 - 21:33:24 - [0] ----D- C:\Users\marie\AppData\Local\{212E3ADD-87E2-4560-AEE8-A7AE4CAEF4E9}
O43 - CFD: 09/09/2011 - 12:24:00 - [0] ----D- C:\Users\marie\AppData\Local\{2E0DCB34-2E34-4252-90CF-1C71ECA0D425}
O43 - CFD: 01/07/2011 - 19:50:28 - [0] ----D- C:\Users\marie\AppData\Local\{4261879C-08D7-41A1-82D3-C58DDC8428B0}
O43 - CFD: 27/08/2011 - 20:02:20 - [0] ----D- C:\Users\marie\AppData\Local\{54617051-9684-49AE-BC53-A8E1865D3526}
O43 - CFD: 07/09/2011 - 11:00:06 - [0] ----D- C:\Users\marie\AppData\Local\{60EC8B9F-D67E-441F-92D0-C236AB1C828C}
O43 - CFD: 19/06/2011 - 13:45:02 - [0] ----D- C:\Users\marie\AppData\Local\{61AE6F80-22EE-45D4-ABA6-C15A9D1D1B98}
O43 - CFD: 29/08/2011 - 14:09:32 - [0] ----D- C:\Users\marie\AppData\Local\{7709181B-8D8F-4036-BC1A-AA8E44D9D16B}
O43 - CFD: 22/08/2011 - 13:25:42 - [0] ----D- C:\Users\marie\AppData\Local\{8D66F468-96DA-48D9-9A2C-4B2972240B30}
O43 - CFD: 19/06/2011 - 17:00:40 - [0] ----D- C:\Users\marie\AppData\Local\{B205073F-17DD-4968-B969-D60098F165CA}
O43 - CFD: 01/07/2011 - 07:49:14 - [0] ----D- C:\Users\marie\AppData\Local\{B310FE9D-8311-4461-AF00-B0F3F44EFD4F}
O43 - CFD: 11/06/2011 - 18:58:38 - [0] ----D- C:\Users\marie\AppData\Local\{B56DB683-A1E9-46F3-9B28-06041DDC7CE2}
O43 - CFD: 09/09/2011 - 12:24:12 - [0] ----D- C:\Users\marie\AppData\Local\{EA873275-BCDD-41A2-AB36-6B2B5FDC7ACF}
O43 - CFD: 27/08/2011 - 20:02:34 - [0] ----D- C:\Users\marie\AppData\Local\{F76F714F-DF5D-4AF1-ADD9-BE2DBB199A71}
O43 - CFD: 30/06/2011 - 19:48:16 - [0] ----D- C:\Users\marie\AppData\Local\{F9A86863-6090-45DF-B22A-4BB2AB526579}
O43 - CFD: 07/09/2011 - 11:00:16 - [0] ----D- C:\Users\marie\AppData\Local\{FCEA700E-ADF6-49C7-9F43-70C89B0488B4}
O51 - MPSK:{058451b8-4800-11dd-a397-001a920c96f6}\AutoRun\command. (...) -- G:\FahrenheitAutoRun.exe (.not file.)




Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

3/
* Telecharge et install USBFix >>ICI par El Desaparecido , C_XX & Chimay8
Autres liens :
http://www.teamxscript.org/usbfixTelechargement.html
http://teamxscript.changelog.fr/too/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

automatiquement

-Clique sur "Recherche"

- Laisse travailler l'outil

- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi

sauvegardé a la racine du disque dur)

@+