virus adwareRésolu/Fermé

Question

Bonjour à tous, 
depuis une semaine je suis infecté par un virus adware; pas moyen de m'en faire quitte, j'ai redémarré en mode sans échec, passer nod32,antimalwarebytes,puis ccleaner et à chaque redémarrage des fichiers infectés réapparaissent avec le scan de malwarebytes
Qui pourrait m'aider? help help!!
Je vous joint le dernier rapport de malwarebytes

Merci d'avance pour vos réponses!!!! 
Je repasse dés que possible

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4190

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

12/06/2010 13:42:57
mbam-log-2010-06-12 (13-42-57).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 252377
Temps écoulé: 1 heure(s), 33 minute(s), 18 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 20
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c1244db1-ed1a-4f6f-8d38-1a6959714663} (Adware.EZlife) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c1244db1-ed1a-4f6f-8d38-1a6959714663} (Adware.EZlife) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c1244db1-ed1a-4f6f-8d38-1a6959714663} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> No action taken.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1767d0f6-d7bc-4e7f-bdc6-edcbdeafb40b} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1767d0f6-d7bc-4e7f-bdc6-edcbdeafb40b} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1767d0f6-d7bc-4e7f-bdc6-edcbdeafb40b} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3aa52cdd-149f-43d3-afa4-0839132cd670} (Trojan.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3aa52cdd-149f-43d3-afa4-0839132cd670} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\afqguqjhykdtqitvi (Adware.Adrotator) -> No action taken.
HKEY_CLASSES_ROOT\adgj.aghlp (Adware.EZLife) -> No action taken.
HKEY_CLASSES_ROOT\adgj.aghlp.1 (Adware.EZLife) -> No action taken.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr (Adware.Adrotator) -> No action taken.
HKEY_CLASSES_ROOT\adshothlpr.adshothlpr.1.0 (Adware.Adrotator) -> No action taken.
HKEY_CURRENT_USER\Software\Street-Ads (Adware.Adrotator) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Street-Ads (Adware.Adrotator) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mchk (Adware.Adshot) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\foxwd.exe (Adware.Adshot) -> No action taken.
C:\WINDOWS\system32\soxwd.dll (Adware.EZlife) -> No action taken.
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP708\A0148489.dll (Trojan.BHO) -> No action taken.
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP708\A0148547.dll (Trojan.BHO) -> No action taken.
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP711\A0150251.dll (Trojan.BHO) -> No action taken.
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP711\A0150256.dll (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\ooxwd.dll (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\oplkuwjn.exe (Adware.Lifze) -> No action taken.
C:\WINDOWS\system32\oqhphiru.dll (Trojan.BHO) -> No action taken.
C:\WINDOWS\system32\afqguqjhykdtqitvi.exe (Adware.Adrotator) -> No action taken.



Configuration: Windows XP / Firefox 3.5.9

CCMSt4ff · Answer

Essaye Spybot Search & Destroye

Utilisateur anonyme · Answer

Bonjour

Que tu utilises Malwaresbytes c'est bien ;encore faut il supprimer tout ce qu'il trouve.>>No action taken.
donc relance le et supprime tout ce coup si.
@+

sis67 · Answer

d'accord mais je fais comment? Je ne suis pas un spécialiste de l'informatique...malheureusement

Utilisateur anonyme · Answer

Re

Un tutoriel ici:
https://forum.pcastuces.com/sujet.asp?f=31&s=3

sis67 · Answer

merci pour tes réponses Guillaume

c'est vrai que je n'ai pas supprimé ces éléments à la fin du scan, mais c'est parce que je désespère même en les supprimant à la réouverture du pc de nouveaux fichiers ou clés infectés réapparaissent...

Utilisateur anonyme · Answer

Re

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

sis67 · Answer

OK merci bcp à toi je fais tout ça et je reviens
a+

sis67 · Answer

ok j' espère que je n'ai pas fais de fausses manip
voici le lien (qui devrait être en bleu?)

http://www.cijoint.fr/cjlink.php?file=cj201006/cij8FjtwZ6.txt

Utilisateur anonyme · Answer

Re

La première chose à faire.

Windows update >>XP SP 3 et IE 8

On passera à la suite à l'issue de ces mises à jour prioritaires.
Tiens moi au courant;merci.
@+

sis67 · Answer

Voilà c'est fait j'ai installé XP SP3 et téléchargé IE8

Utilisateur anonyme · Answer

Re

Ok ;passons à une taille supérieure maintenant.

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

sis67 · Answer

ok merci pour tout, j'imprime la marche à suivre que tu viens de me donner et j'essaie de me dépétrer
à bientôt... J'espère

sis67 · Answer

je replace le rapport il n'est pas passé la 1ère fois (?) j'espère qu'il est bon car mon anti-virus s'est réactivé quand combofix a redémarré l'ordinateur...
Voici donc le résultat:

ComboFix 10-06-11.01 - Francis 12/06/2010  19:55:40.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.2047.1491 [GMT 2:00]
Lancé depuis: c:\documents and settings\Francis\Bureau\asdehi.exe
AV: NOD32 Antivirus System 2.50 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
 * Un antivirus résident est actif

.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Magali\Application Data\8C5D0A2F8986D79899316E5ACC5DD66D
c:\documents and settings\Magali\Application Data\8C5D0A2F8986D79899316E5ACC5DD66D\enemies-names.txt
c:\documents and settings\Magali\Application Data\8C5D0A2F8986D79899316E5ACC5DD66D\local.ini
c:\documents and settings\Magali\Application Data\8C5D0A2F8986D79899316E5ACC5DD66D\lsrslt.ini
c:\documents and settings\Magali\Application Data\inst.exe
c:\documents and settings\Magali\Bureau\Twilight 
c:\documents and settings\Magali\Bureau\Twilight
c:\windows\system32\ooxwd.dll
c:\windows\system32\oqhphiru.dll
c:\windows\system32\soXWd.dll

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV


(((((((((((((((((((((((((((((   Fichiers créés du 2010-05-12 au 2010-06-12  ))))))))))))))))))))))))))))))))))))
.

2010-06-12 17:15 . 2010-06-12 17:15	--------	d-sh--w-	c:\documents and settings\Francis\PrivacIE
2010-06-12 17:14 . 2010-06-12 17:14	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-06-12 17:14 . 2010-06-12 17:14	--------	d-sh--w-	c:\documents and settings\Francis\IETldCache
2010-06-12 17:04 . 2010-06-12 17:04	--------	d--h--w-	c:\windows\msdownld.tmp
2010-06-12 17:03 . 2010-06-12 17:03	--------	d-----w-	c:\windows\ie8updates
2010-06-12 17:01 . 2010-06-12 17:02	--------	dc-h--w-	c:\windows\ie8
2010-06-12 16:58 . 2010-05-06 10:33	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2010-06-12 16:58 . 2010-05-06 10:33	247808	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2010-06-12 16:58 . 2010-05-06 10:33	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-06-12 16:58 . 2010-04-16 11:43	41984	-c----w-	c:\windows\system32\dllcache\iecompat.dll
2010-06-12 14:31 . 2008-04-13 17:34	32866	------w-	c:\windows\slrundll.exe
2010-06-12 14:31 . 2010-06-12 14:31	--------	d-----w-	c:\windows\system32\fr
2010-06-12 14:31 . 2010-06-12 14:31	--------	d-----w-	c:\windows\system32\bits
2010-06-12 14:21 . 2010-06-12 14:21	--------	d-----w-	c:\windows\EHome
2010-06-12 13:29 . 2010-06-12 13:29	--------	d-----w-	c:\program files\ZHPDiag
2010-06-12 13:14 . 2010-06-12 13:24	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-06-12 13:14 . 2010-06-12 13:19	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-06-11 13:53 . 2010-06-11 13:53	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Malwarebytes
2010-06-10 11:08 . 2010-06-10 11:08	--------	d-----w-	c:\documents and settings\Magali\Application Data\AVS4YOU
2010-06-08 21:06 . 2010-06-08 21:06	327680	----a-w-	c:\windows\system32\soxwd.dll
2010-06-08 14:51 . 2010-06-08 14:51	40629	----a-w-	c:\windows\system32\foxwd.exe
2010-06-03 10:32 . 2010-06-03 10:32	--------	d-----w-	c:\documents and settings\Francis\Application Data\Sky-Banners
2010-06-03 10:32 . 2010-06-03 10:32	--------	d-----w-	c:\documents and settings\Francis\Application Data\Street-Ads
2010-06-03 10:32 . 2010-06-03 10:32	--------	d-----w-	c:\documents and settings\Francis\Local Settings\Application Data\Conduit
2010-06-03 10:32 . 2010-06-03 10:32	--------	d-----w-	c:\documents and settings\Francis\Local Settings\Application Data\Softonic_France
2010-06-01 14:17 . 2010-06-01 14:17	--------	d-----w-	c:\documents and settings\Magali\Application Data\Street-Ads
2010-06-01 14:17 . 2010-06-01 14:17	--------	d-----w-	c:\documents and settings\Magali\Application Data\Sky-Banners
2010-06-01 14:17 . 2010-06-01 14:17	50981	----a-w-	c:\windows\system32\afqguqjhykdtqitvi.exe
2010-06-01 14:17 . 2010-06-01 14:17	--------	d-----w-	c:\program files\$NtUninstallWTF1012$
2010-05-24 16:31 . 2010-05-24 16:31	40633	----a-w-	c:\windows\system32\oplkuwjn.exe
2010-05-21 17:34 . 2008-03-05 13:56	1420824	----a-w-	c:\windows\system32\D3DCompiler_37.dll
2010-05-21 17:34 . 2008-02-05 21:07	462864	----a-w-	c:\windows\system32\d3dx10_37.dll
2010-05-21 17:34 . 2008-03-05 13:56	3786760	----a-w-	c:\windows\system32\D3DX9_37.dll
2010-05-21 17:34 . 2007-04-04 16:53	81768	----a-w-	c:\windows\system32\xinput1_3.dll
2010-05-21 17:34 . 2010-05-21 17:34	--------	d-----w-	c:\windows\system32\xlive
2010-05-21 17:34 . 2010-05-21 17:34	--------	d-----w-	c:\program files\Microsoft Games for Windows - LIVE
2010-05-15 08:27 . 2010-05-15 10:10	147456	----a-w-	c:\windows\system32\vbzip10.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-12 17:32 . 2008-02-22 17:59	68432	----a-w-	c:\documents and settings\Francis\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-06-12 16:42 . 2004-08-05 12:00	84526	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-12 16:42 . 2004-08-05 12:00	510324	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-12 14:33 . 2008-02-09 14:17	76507	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-06-11 18:28 . 2008-12-09 21:30	1100	----a-w-	c:\windows\system32\d3d8caps.dat
2010-06-10 13:01 . 2009-04-09 06:32	--------	d-----w-	c:\documents and settings\Magali\Application Data\XnView
2010-06-09 11:01 . 2010-03-16 13:35	--------	d-----w-	c:\program files\Ask.com
2010-06-05 09:55 . 2009-11-11 18:46	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-06-01 14:23 . 2010-04-02 10:48	--------	d-----w-	c:\program files\Softonic_France
2010-05-27 20:10 . 2010-03-11 15:34	443912	----a-w-	c:\documents and settings\Magali\Application Data\Real\Update\setup3.10\setup.exe
2010-05-27 10:46 . 2010-03-12 15:47	443912	----a-w-	c:\documents and settings\Francis\Application Data\Real\Update\setup3.10\setup.exe
2010-05-21 17:56 . 2009-10-25 17:08	--------	d-----w-	c:\program files\Rockstar Games
2010-05-21 17:55 . 2008-02-09 14:45	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-05-12 20:31 . 2010-05-12 20:31	21304816	----a-w-	c:\documents and settings\Magali\Application Data\Real\Update\setup3.10p\RealPlayerSPGold_fr.exe
2010-05-10 10:49 . 2009-09-05 15:14	--------	d-----w-	c:\documents and settings\Francis\Application Data\Image Zone Express
2010-05-09 12:14 . 2009-07-28 08:25	--------	d-----w-	c:\documents and settings\Magali\Application Data\Image Zone Express
2010-05-06 10:33 . 2004-08-05 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-02 08:08 . 2005-10-06 03:08	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-30 20:14 . 2008-09-23 16:37	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-04-29 13:39 . 2008-09-23 16:37	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2008-09-23 16:37	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-26 18:58 . 2010-04-26 18:58	--------	d-----w-	c:\program files\ColorMailer
2010-04-20 05:30 . 2004-08-05 12:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-07 14:01 . 2010-01-11 15:41	4	----a-w-	C:	imestmp.tmp
2010-03-31 12:33 . 2010-03-30 14:40	45056	----a-w-	c:\windows\NCUNINST.EXE
2010-03-29 19:14 . 2009-11-23 20:38	79488	----a-w-	c:\documents and settings\Francis\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-29 19:08 . 2009-11-23 18:39	79488	----a-w-	c:\documents and settings\Magali\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-26 08:33 . 2010-04-21 18:06	1496064	----a-w-	c:\documents and settings\Francis\Application Data\Mozilla\Firefox\Profiles\fdn6cq0a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-04-14 11:07	1496064	----a-w-	c:\documents and settings\Magali\Application Data\Mozilla\Firefox\Profiles\090uv6ad.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2010-03-26 08:33 . 2010-04-21 18:06	43008	----a-w-	c:\documents and settings\Francis\Application Data\Mozilla\Firefox\Profiles\fdn6cq0a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-04-21 18:06	339456	----a-w-	c:\documents and settings\Francis\Application Data\Mozilla\Firefox\Profiles\fdn6cq0a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:33 . 2010-04-14 11:08	43008	----a-w-	c:\documents and settings\Magali\Application Data\Mozilla\Firefox\Profiles\090uv6ad.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2010-03-26 08:33 . 2010-04-14 11:08	339456	----a-w-	c:\documents and settings\Magali\Application Data\Mozilla\Firefox\Profiles\090uv6ad.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2010-03-26 08:32 . 2010-04-21 18:06	346112	----a-w-	c:\documents and settings\Francis\Application Data\Mozilla\Firefox\Profiles\fdn6cq0a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2010-03-26 08:32 . 2010-04-14 11:08	346112	----a-w-	c:\documents and settings\Magali\Application Data\Mozilla\Firefox\Profiles\090uv6ad.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2008-04-26 23:31 . 2008-04-26 23:31	4688	----a-w-	c:\program files\satsukidecodersettings.ini
2008-04-26 23:31 . 2008-04-26 23:31	3476	----a-w-	c:\program files\mpc7.reg
2008-04-26 23:31 . 2008-04-26 23:31	3428	----a-w-	c:\program files\mpc4.reg
2008-04-26 23:31 . 2008-04-26 23:31	3026	----a-w-	c:\program files\mpc3.reg
2008-04-26 23:31 . 2008-04-26 23:31	18156	----a-w-	c:\program files\mpc6.reg
2008-04-26 23:31 . 2008-04-26 23:31	16282	----a-w-	c:\program files\mpc5.reg
2008-04-26 23:31 . 2008-04-26 23:31	680	----a-w-	c:\program files\mpc2.reg
2008-04-26 23:31 . 2008-04-26 23:31	596	----a-w-	c:\program files\mpc1.reg
2008-04-26 23:31 . 2008-04-26 23:31	31570	----a-w-	c:\program files\ffdsvsetts.reg
2008-04-26 23:31 . 2008-04-26 23:31	1658	----a-w-	c:\program files\ffdssetts.reg
2008-04-26 23:31 . 2008-04-26 23:31	1292	----a-w-	c:\program files\ffdsasetts.reg
2008-04-17 13:58 . 2008-04-17 13:58	6604	----a-w-	c:\program files\Uninstall.dat
2008-04-17 13:58 . 2008-04-17 13:58	163840	----a-w-	c:\program files\Uninstall.exe
2002-08-01 15:33 . 2008-04-17 13:58	17384	----a-w-	c:\program files\Install instructions.rtf
2002-08-01 15:20 . 2008-04-17 13:58	7618	----a-w-	c:\program files\License.rtf
2002-08-01 15:18 . 2008-04-17 13:58	135	----a-w-	c:\program files\EasyDivX web.url
2002-07-03 20:14 . 2008-04-17 13:58	1586688	----a-w-	c:\program files\EasyDivX_082.exe
2001-11-26 21:37 . 2008-04-17 13:58	1357	----a-w-	c:\program files\subresync_doc.txt
2001-09-22 19:12 . 2008-04-17 13:58	90112	----a-w-	c:\program files\subresync.exe
2008-04-15 11:31 . 2008-04-14 13:37	72	--sh--w-	c:\windows\SBA21D309.tmp
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864]

[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{364d4e0c-543f-4b85-abe3-19551139da4f}]
2010-06-01 14:23	2515552	----a-w-	c:\program files\Softonic_France	bSof1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C1244DB1-ED1A-4F6F-8D38-1A6959714663}]
2010-06-08 21:06	327680	----a-w-	c:\windows\system32\soxwd.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-05-26 13:23	1385864	----a-w-	c:\program files\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{364d4e0c-543f-4b85-abe3-19551139da4f}"= "c:\program files\Softonic_France	bSof1.dll" [2010-06-01 2515552]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864]

[HKEY_CLASSES_ROOT\clsid\{364d4e0c-543f-4b85-abe3-19551139da4f}]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864]
"{364D4E0C-543F-4B85-ABE3-19551139DA4F}"= "c:\program files\Softonic_France	bSof1.dll" [2010-06-01 2515552]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CLASSES_ROOT\clsid\{364d4e0c-543f-4b85-abe3-19551139da4f}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2006-06-01 94208]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-08-30 136600]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 16248320]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-27 7573504]
"nwiz"="nwiz.exe" [2006-04-27 1519616]
"WinDVR SchSvr"="c:\program files\Fichiers communs\InterVideo\SchSvr\SchSvr.exe" [2005-04-13 106496]
"nod32kui"="c:\program files\Eset
od32kui.exe" [2008-02-09 917504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-27 86016]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"Adobe Photo Downloader"="c:\program files\Adobe\Photoshop Elements 6.0\apdproxy.exe" [2007-09-10 67488]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-13 110592]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2009-11-18 198160]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-02-16 282624]
"skb"="soxwd.dll" [2010-06-08 327680]
"MChk"="c:\windows\system32\foxwd.exe" [2010-06-08 40629]

c:\documents and settings\Magali\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\documents and settings\Francis\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Outil de d'tection de support Picture Motion Browser.lnk - c:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2009-10-5 344064]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]
InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2008-2-9 204800]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2008-04-13 17:34	15360	----a-w-	c:\windows\system32\ctfmon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\DNA\btdna.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"=
"c:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe"=
"c:\Program Files\Sierra\Empire Earth II\EE2.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"=
"c:\Program Files\Java\jre6\bin\javaw.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=

R3 PhTVTune;Hercules Smart TV 3 WDM TVTuner (FM1216ME);c:\windows\system32\drivers\PhTvTune.sys [09/02/2008 16:45 27808]
R3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [09/02/2008 16:37 215040]
.
Contenu du dossier 'Tâches planifiées'

2010-06-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 14:42]

2010-06-12 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-05-26 13:23]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.01net.com/
uInternet Settings,ProxyOverride = <local>
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: imon.dll
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxps://secure.gopetslive.com/dev/GoPetsWeb.cab
FF - ProfilePath - c:\documents and settings\Francis\Application Data\Mozilla\Firefox\Profiles\fdn6cq0a.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/firefox
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIAWB1&q=
FF - component: c:\documents and settings\Francis\Application Data\Mozilla\Firefox\Profiles\fdn6cq0a.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
FF - component: c:\program files\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension\SearchHelperExtension\components\SEPsearchhelperff.dll
FF - component: c:\program files\Real\RealPlayer\browserrecord\firefox\ext\components
prpffbrowserrecordext.dll
FF - plugin: c:\program files\innoPlus\Panorama-Viewer-innoPlus
pirsviewer.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer\NPVeohTVPlugin.dll
FF - plugin: c:\program files\Veoh Networks\VeohWebPlayer
pWebPlayerVideoPluginATL.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{1767D0F6-D7BC-4E7F-BDC6-EDCBDEAFB40B} - c:\windows\system32\ooxwd.dll
BHO-{7B3B9B4D-2875-574A-E7D1-5B816BF13A0A} - (no file)



**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version]
"Version"=hex:e1,f1,70,ce,5a,c5,22,15,b5,97,e1,da,d1,f0,2a,ac,e6,16,f7,91,5d,
   28,3a,b0,4d,e7,52,ae,d1,29,f7,05,60,4e,48,6b,44,9c,6d,fd,b2,b4,65,83,f9,74,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
"Version"=hex:e1,f1,70,ce,5a,c5,22,15,b5,97,e1,da,d1,f0,2a,ac,e6,16,f7,91,5d,
   28,3a,b0,4d,e7,52,ae,d1,29,f7,05,60,4e,48,6b,44,9c,6d,fd,b2,b4,65,83,f9,74,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(936)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(2716)
c:\program files\Fichiers communs\Ahead\Lib\NeroSearchBar.dll
c:\program files\Fichiers communs\Ahead\Lib\NeroSearchTrayHook.dll
c:\program files\Fichiers communs\Ahead\Lib\MFC71U.DLL
c:\program files\Fichiers communs\Ahead\Lib\BCGCBPRO800u.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Eset
od32krn.exe
c:\windows\system32
vsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\windows\system32undll32.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Heure de fin: 2010-06-12  20:17:22 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-06-12 18:17

Avant-CF: 32 114 462 720 octets libres
Après-CF: 32 405 454 848 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect

- - End Of File - - 4FA75A23674BE36DC24BC586F00090E2

Utilisateur anonyme · Answer

Bonjour

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===| 
                ----------------------------------------------------------------------------------------------- 

Toujours avec toutes les protections désactivées, fais ceci : 

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) 
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : 

                                       ---------------------------------------------------------- 


KillAll:: 


Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"skb"=-
"MChk"=-
 

File::
c:\windows\system32\soxwd.dll     
c:\windows\system32\foxwd.exe     
c:\documents and settings\Francis\Application Data\Sky-Banners     
c:\documents and settings\Francis\Application Data\Street-Ads     
c:\documents and settings\Francis\Local Settings\Application Data\Conduit     
c:\documents and settings\Magali\Application Data\Street-Ads     
c:\documents and settings\Magali\Application Data\Sky-Banners     
c:\windows\system32\afqguqjhykdtqitvi.exe 
c:\program files\$NtUninstallWTF1012$ 
c:\windows\system32\oplkuwjn.exe 
c:\windows\system32\vbzip10.dll 


                              -----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt 
* Quitte le Bloc Notes 

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif 

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+

sis67 · Answer

Bonjour Guillaume,
merci d'être encore là
juste une question avant de faire cela, j'ai nod32 comme antivirus pour le désactiver il suffit bien d'aller sur son icône dans la barre d'outil , clic droit et quitter?

Utilisateur anonyme · Answer

Re

Effectivement tu vas sur cette icône et tu "désactives la protection en temps réel"

@+

sis67 · Answer

Guillaume, c'est la 3ème fois que j'essaie de poster le rapport et ça ne fonctionne pas je ne le retrouve pas en suite de la discussion (?)

Utilisateur anonyme · Answer

Re

Procédons autrement:
Pour me le transmettre clique sur ce lien : 

http://www.cijoint.fr/index.php

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier
Clique sur Ouvrir. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

@+

sis67 · Answer

Voici

http://www.cijoint.fr/cjlink.php?file=cj201006/cijhzn3Mey.txt

Utilisateur anonyme · Answer

Re

Ok ;passe à Malwaresbytes ;met le à jour et lance un scan complet et poste moi le rapport à l'issue;merci
@+

sis67 · Answer

Ok si je trouves des éléments infectés je les supprime ou je les laisse pour que tu puisses les voir?

sis67 · Answer

Ok si je trouve des éléments infectés je les supprime ou je te les laisse?

Utilisateur anonyme · Answer

Re

Tu supprimes tout ce que MBAM trouve et tu postes le rapport

sis67 · Answer

Voici le rapport de Malwarebytes:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4192

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

13/06/2010 13:06:10
mbam-log-2010-06-13 (13-06-10).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 272175
Temps écoulé: 1 heure(s), 45 minute(s), 11 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP796\A0155153.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP796\A0155154.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP796\A0155300.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP796\A0155301.exe (Adware.Adshot) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP796\A0155302.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{8B46804E-2C60-468D-90C6-EAB24784A781}\RP796\A0155303.exe (Adware.Lifze) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ooxwd.dll.vir (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32\oqhphiru.dll.vir (Trojan.BHO) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Re

1)Vide la quarantaine de MBAM

2)Supprime ce fichier sur le bureau:asdehi.exe (ComboFix renommé)

3)* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche):    http://pagesperso-orange.fr/NosTools/tuto_adr_2.html


4)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles 

 ---> Télécharge Toolscleaner  sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
* Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista et Seven)pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


Poste les rapports au fur et à mesure;merci

@+

sis67 · Answer

ok merci bcp

sis67 · Answer

voici déjà le rapport de Ad-remover, je continue sur Toolscleaner...
======= RAPPORT D'AD-REMOVER 2.0.0.1,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 12/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:39:15 le 13/06/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Francis, HEMMEN-29E3CDAA ( ) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
0,Dossier supprimé: C:\Documents and Settings\Francis\Application Data\Mozilla\FireFox\Profiles\fdn6cq0a.default\extensions	oolbar@ask.com
0,Fichier supprimé: C:\Documents and Settings\Francis\Application Data\Mozilla\FireFox\Profiles\fdn6cq0a.default\searchplugins\askcom.xml
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Documents and Settings\Francis\Local Settings\Application Data\AskToolbar
0,Dossier supprimé: C:\Documents and Settings\Francis\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Program Files\Conduit
0,Dossier supprimé: C:\Program Files\GV AbsoluCasino
0,Dossier supprimé: C:\Documents and Settings\Francis\Local Settings\Application Data\Softonic_France
0,Dossier supprimé: C:\Program Files\Softonic_France
3,Fichier supprimé: C:\WINDOWS\Installer\2d94c.msi   

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Francis\Application Data\Mozilla\FireFox\Profiles\fdn6cq0a.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com"); 
Ligne supprimée: user_pref("extensions.asktb.cbid", "GX"); 
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://eu.ask.com/web?qsrc={qsrc}&o={o}&l={l... 
Ligne supprimée: user_pref("extensions.asktb.dtid", "YYYYYYB3BE"); 
Ligne supprimée: user_pref("extensions.asktb.l", "dis"); 
Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1268746516386"); 
Ligne supprimée: user_pref("extensions.asktb.locale", "fr_EU"); 
Ligne supprimée: user_pref("extensions.asktb.o", "15443"); 
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871"); 
-- Fichier Fermé --
 

-- Fichier ouvert: C:\Documents and Settings\Magali\Application Data\Mozilla\FireFox\Profiles\090uv6ad.default\Prefs.js --
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\Sky-Banners
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AskToolbar
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\Sky-Banners
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.9 (fr)] **

-- C:\Documents and Settings\Francis\Application Data\Mozilla\FireFox\Profiles\fdn6cq0a.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Francis\Bureau
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.search.selectedEngine, Bing
browser.startup.homepage, hxxp://www.google.be/firefox
browser.startup.homepage_override.mstone, rv:1.9.1.9
keyword.URL, hxxp://www.bing.com/search?mkt=fr-FR&form=MIAWB1&q=

-- C:\Documents and Settings\Magali\Application Data\Mozilla\FireFox\Profiles\090uv6ad.default\Prefs.js --
browser.download.lastDir, D:\Documents and Settings\Magali\Mes documents\bricolages\bijoux
browser.search.defaultenginename, Google
browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351374&SearchSource=3&q={searchTerms}
browser.search.selectedEngine, Softonic France Customized Web Search
browser.startup.homepage, hxxp://www.google.be/firefox
browser.startup.homepage_override.mstone, rv:1.9.1.9
keyword.URL, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1351374&SearchSource=2&q=

-- C:\Documents and Settings\Théo\Application Data\Mozilla\FireFox\Profiles	vcotzwi.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Théo\Bureau
browser.startup.homepage_override.mstone, rv:1.9.1.9

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 507 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 7599 Octet(s)

Fin à: 13:44:06, 13/06/2010 
 
============== E.O.F ==============

sis67 · Answer

Et voici le rapport de Toolscleaner
Qu'est ce que ça dit tout ça docteur?

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\Documents and Settings\Francis\Bureau\Combofix.txt: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Francis\Bureau\Combofix.txt: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Utilisateur anonyme · Answer

Re 1)Supprime Tools cleaner. 2)C - Ccleaner : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ .enregistres le sur le bureau .double-cliques sur le fichier pour lancer l'installation .sur la fenêtre de l'installation langage bien choisir français et OK .cliques sur suivant .lis la licence et j'accepte .cliques sur suivant .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner .cliques sur installer .cliques sur fermer .double-cliques sur l'icône de Ccleaner pour l'ouvrir .une fois ouvert tu cliques sur option et puis avancé .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures .cliques sur nettoyeur .cliques sur windows et dans la colonne avancé . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la .cliques sur analyse une fois l'analyse terminé .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien .clique maintenant sur registre et puis sur rechercher les erreurs .laisse tout coché et clique sur réparer les erreurs sélectionnées .il te demande de sauvegarder OUI .tu lui donnes un nom pour pouvoir la retrouver et enregistre .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK .il supprime et fermer tu vérifies en relançant rechercher les erreurs .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch .tu peux fermer Ccleaner. Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm 3)Purge la restauration comme ceci : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924 Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections Tiens moi au courant;merci @+

sis67 · Answer

Voilà Guillaume j'ai fais tout ce que tu m'as dit; pour purger la restauration il fallait bien désactiver la restauration puis valider puis ensuite réactiver la restauration système?

Utilisateur anonyme · Answer

Re

C'est exactement ça ;)

Si ton problème est résolu je te propose de clore ce post.

@+

sis67 · Answer

ok je redémarre l'ordi je repasse un scan de Malwarebytes et te tiens au courant

sis67 · Answer

Me revoici, je viens donc de repasser un scan de Malwarebytes et apparemment tout est ok aucun objet nuisible n'a été détecté alors un grand grand merci à toi Guillaume tu es géant et super sympa d'avoir passé du temps de ton week-end et surtout de ton dimanche avec moi pour résoudre mon problème...
Mais encore une ou deux petites questions puis je te "lâche":
- Il me reste encore zhpdiag sur mon bureau je suppose que je peux le supprimer sans souci?
- J'avais télécharger spybot et destroy au début de ce post sans m'en être servi, je vois qu'il y a une icône dans ma barre d'outil je suppose que je peux aussi le désinstaller sans souci?
- Nous sommes à quatre de ma petite famille à venir sur cet ordi est-il possible de savoir sur quel site à été récupérer ce foutu virus? Ce n'est pas dans nos habitudes d'aller sur des sites "dangereux"
- J'ai installé Avast 5 gratuit et Malwarebytes sur le nouvel ordi de mon fils qu'en penses-tu?
ENCORE UN GRAND MERCI j'aurai peut-être l'occasion de t'aider à mon tour (mais moi c'est plus le montage vidéo et tout ce qui tourne au tour) et ce sera avec grand plaisir!

sis67 · Answer

J'oubliais: est-il avantageux de créer un point de restauration maintenant au cas ou un nouveau virus apparaîtrait, ou cela ne sert-il à rien?
Merci

Utilisateur anonyme · Answer

Re

Tu peux supprimer ZHPDiag du bureau.
Tu peux également désinstaller spybot et ne conserver que Malwaresbytes.
L'installation de barres d'outils (Toolbar)n'est pas obligatoire ;certaines sont néfastes.
Pour le reste, le P2P apporte également certains virus ;entre autres les cracks ou Keygen .

Avast 5 et MBAM c'est très bien;mais le plus important est d'avoir un PC à jour.
Donc Windows Update (mises à jour Windows) en automatique.

Je mets le post en résolu ;merci
@+

sis67 · Answer

OK encore merci et bonne soirée!

Virus adware

36 réponses

Discussions similaires

Newsletters