Spy hunterRésolu/Fermé

Question

Bonjour, 

J'ai installé récemment spy hunter en croyant que ceci aller m'aider contre security tool, ceci a était fait, il me l'avait bloqué et j'ai pu activer malwarebytes... Donc je vais pouvoir le supprimer,

cependant, j'ai remarqué que spy hunter était un faux logiciel, j'ai donc arrêter l'analyse et je l'ai de suite supprimer, mais voilà, il continue a me dire si je veux faire certaines chose.. Comme l'ajout d'un truc et la suppression d'une autre... Malgré l'avoir désinstallé

actuellement malwarebytes est en train d'analyser mon ordi (en complet), est-ce qu'il faut faire une manipulation spéciale ?

Je vous remercie d'avance
Jejedu59000 

Configuration: Windows XP / Opera 9.80

jfkpresident · Answer

Bonsoir,

On va tout d'abord jeter un oeil sur ce pc :

 Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

jejedu59000 · Answer

Le voici: 

http://www.cijoint.fr/cjlink.php?file=cj201010/cijEHeOjcO.txt

jfkpresident · Answer

Ton pc est bien infecté ,on est parti :

* Télécharge sur le bureau RogueKiller (par tigzy)
* Lance le.
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse.

jejedu59000 · Answer

Je ne trouve pas le RKreport.txt, ou pouvons-nous le trouver ?

jfkpresident · Answer

Je ne trouve pas le RKreport.txt, ou pouvons-nous le trouver ?

Justa a coté de l'emplacement de RogueKiller .

jejedu59000 · Answer

merci, le voilà: ---------------- RogueKiller V1.1.2 by Tigzy --------------- ------------ contact at www.sur-la-toile.com --------------- ------------- mail: tigzy44hotmailcom ------------- Remontées: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 2) Bad processes: Deregistred: Finished

jfkpresident · Answer

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

jejedu59000 · Answer

voici le rapport: ps: veuillez m'excusez si cela n'est pas en cache, car je n'arrive pas à voir comment on peut faire. ComboFix 10-10-09.06 - Dell 600 10/10/2010 21:30:24.1.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.273 [GMT 2:00] Lancé depuis: c:\documents and settings\Dell 600\Bureau\ComboFix.exe AV: avast! antivirus 4.8.1351 [VPS 100930-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . C:\avast.exe c:\documents and settings\Dell 600\binternet.exe c:\documents and settings\Dell 600\Local Settings\Application Data\0397974231.exe c:\windows egsvr32.exe c:\windows\SW_Win3112X32.DLL . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SSHNAS ((((((((((((((((((((((((((((( Fichiers créés du 2010-09-10 au 2010-10-10 )))))))))))))))))))))))))))))))))))) . 2010-10-10 17:50 . 2010-10-10 17:56 -------- d-----w- c:\program files\ZHPDiag 2010-10-10 16:39 . 2010-10-10 16:39 -------- d-----w- c:\program files\Enigma Software Group 2010-10-10 16:38 . 2010-10-10 17:12 -------- d-----w- c:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP 2010-10-10 16:38 . 2010-10-10 16:38 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard 2010-10-07 21:03 . 2010-10-07 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee 2010-10-07 21:03 . 2010-10-07 21:03 -------- d-----w- c:\documents and settings\All Users\Application Data\McAfee Security Scan 2010-10-07 21:03 . 2010-10-07 21:03 -------- d-----w- c:\program files\McAfee Security Scan 2010-10-07 20:56 . 2010-10-07 20:56 14808 ----a-w- c:\program files\Mozilla Firefox\plugin-container.exe 2010-10-07 20:56 . 2010-10-07 20:56 718296 ----a-w- c:\program files\Mozilla Firefox\mozcpp19.dll 2010-09-26 19:34 . 2010-09-26 19:34 -------- d-----w- c:\documents and settings\Dell 600\Application Data\Malwarebytes 2010-09-26 19:34 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-09-26 19:34 . 2010-09-26 19:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2010-09-26 19:34 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-09-26 19:33 . 2010-09-26 19:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-09-26 16:35 . 2010-09-26 16:36 1514728 ----a-w- C:\FIXIO_PC_Cleaner_2010_Installer.exe 2010-09-26 09:50 . 2010-09-26 09:51 5741512 ----a-w- C:\spywarefighter.exe 2010-09-15 11:53 . 2010-09-15 12:33 -------- d-----w- c:\program files\IP Changer 2010-09-15 11:53 . 2010-09-15 11:53 -------- d-----w- c:\windows\IP Changer 2010-09-11 07:28 . 2010-09-11 07:28 -------- d-----w- c:\program files\DFExpress 2010-09-11 06:34 . 2010-09-11 06:34 -------- d-----w- c:\documents and settings\Dell 600\Application Data\DF Express . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864] [HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] 2010-05-26 13:23 1385864 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1] [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-05-26 1385864] [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1] [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Pando Media Booster"="c:\program files\Pando Networks\Media Booster\PMB.exe" [2005-02-12 2938552] "UpdateMyDrivers"="c:\program files\SmartTweak Software\UpdateMyDrivers\UpdateMyDrivers.exe" [2010-05-06 4373184] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000] "SMSERIAL"="sm56hlpr.exe" [2006-10-29 557056] "Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2006-06-29 1032192] "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-10 344064] "F5D7050v3"="c:\program files\Belkin\F5D7050v3\Belkinwcui.exe" [2007-10-30 1654784] "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504] "DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104] "LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040] "Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360] c:\documents and settings\Dell 600\Menu D'marrer\Programmes\D'marrage\ OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000] c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\ McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536] ScanPanel.lnk - c:\scanpanel\ScnPanel.exe [2010-5-30 1744896] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\WINDOWS\system32\usmt\migwiz.exe"= "c:\Program Files\Pando Networks\Media Booster\PMB.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\Program Files\Windows Live\Messenger\wlcsdk.exe"= "c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= "c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"= "c:\WINDOWS\system32\dplaysvr.exe"= "c:\Program Files\Opera\opera.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "56141:TCP"= 56141:TCP:Pando Media Booster "56141:UDP"= 56141:UDP:Pando Media Booster R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [15/12/2003 21:48 114768] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [15/12/2003 21:48 20560] R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [30/03/2010 11:16 1107336] S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/05/2010 16:17 135664] S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 14:49 227232] . Contenu du dossier 'Tâches planifiées' 2010-10-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-05-30 14:17] 2010-10-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-05-30 14:17] 2010-10-10 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job - c:\program files\Ask.com\UpdateTask.exe [2010-05-26 13:23] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms} uDefault_Search_URL = hxxp://www.google.com mStart Page = hxxp://www.google.com IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html Trusted Zone: chat-land.org FF - ProfilePath - c:\documents and settings\Dell 600\Application Data\Mozilla\Firefox\Profiles\vdp2bp6a.default\ FF - prefs.js: browser.search.selectedEngine - Ask.com FF - prefs.js: browser.startup.homepage - hxxp://www.cherche.us/ FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ARS&o=15084&locale=fr_FR&apn_uid=F56F8176-0F55-458C-A88D-0FD155E828EB&apn_ptnrs=AG&apn_sauid=87F8B2F6-6557-411C-9347-DB3E71465487&apn_dtid=&q= FF - plugin: c:\program files\DivX\DivX Plus Web Player pdivx32.dll FF - plugin: c:\program files\Google\Update\1.2.183.29 pGoogleOneClick8.dll FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins ppl3260.dll FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins prpjplug.dll FF - plugin: c:\program files\Mozilla Firefox\plugins pFoxitReaderPlugin.dll FF - plugin: c:\program files\Pando Networks\Media Booster pPandoWebPlugin.dll FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- PARAMETRES FIREFOX ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - ORPHELINS SUPPRIMES - - - - HKLM-Run-Cmaudio - cmicnfg.cpl HKLM-Run-binternet - c:\documents and settings\Dell 600\binternet.exe AddRemove-Convert Doc_is1 - c:\program files\Softinterface AddRemove-Oxygène - c:\program files\Memsoft Oxygene 8\uninst.exe . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(716) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'explorer.exe'(3656) c:\windows\system32\webcheck.dll c:\windows\system32\msi.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\Ati2evxx.exe c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\windows\system32\Ati2evxx.exe c:\windows\sm56hlpr.exe c:\windows\System32\SCardSvr.exe c:\program files\OpenOffice.org 3\program\soffice.exe c:\program files\OpenOffice.org 3\program\soffice.bin c:\windows\system32\dwwin.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Dell\QuickSet\NICCONFIGSVC.exe c:\program files\CDBurnerXP\NMSAccessU.exe c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\windows\system32\wscntfy.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Heure de fin: 2010-10-10 21:56:42 - La machine a redémarré ComboFix-quarantined-files.txt 2010-10-10 19:56 Avant-CF: 12 611 444 736 octets libres Après-CF: 23 909 429 248 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect - - End Of File - - 6E3CF56CE9590F82DDF4B3FDC5284947

jfkpresident · Answer

Une question : Ou as tu téléchargé Avast ?


Avant d'aller plus loin ,on va vérifier quelques fichiers suspects :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ces fichiers :

C:\FIXIO_PC_Cleaner_2010_Installer.exe  
C:\spywarefighter.exe  
c:\program files\SmartTweak Software\UpdateMyDrivers\UpdateMyDrivers.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

jejedu59000 · Answer

Pour avast, je ne sais plus ou je l'avais téléchargé...


Maintenant pour virustotal

spywarefighter
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5:	9e38fa3fc68310a518b5a19b04b782c9
Date first seen:	2010-10-01 18:44:42 (UTC)
Date last seen:	2010-10-03 18:28:23 (UTC)
Detection ratio:	0/43

updatemydrivers
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5:	8d06b9e9ffcafb0eeabecac224578a7e
Date first seen:	2010-05-09 07:26:24 (UTC)
Date last seen:	2010-05-12 21:56:29 (UTC)
Detection ratio:	0/41

FIXIO_PC_CLEANER
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5:	34848611beed7980cacb1d98cf238251
Date first seen:	2010-09-30 10:12:20 (UTC)
Date last seen:	2010-10-03 18:11:33 (UTC)
Detection ratio:	0/43

jfkpresident · Answer

Pour avast, je ne sais plus ou je l'avais téléchargé... 

Tu ne l'as pas téléchargé via le P2P au moins ? (Emule ,limewire,torrent...).

jejedu59000 · Answer

Tout logiciel que je télécharge provient en général de 01.net, pour ma part il ne m'avait jamais causé de problème...

jfkpresident · Answer

Tout logiciel que je télécharge provient en général de 01.net, pour ma part il ne m'avait jamais causé de problème...

C'était juste pour etre sur .

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

           


Folder::
c:\program files\Ask.com
c:\documents and settings\Dell 600

File::
c:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP  
c:\windows\Tasks\Scheduled Update for Ask Toolbar.job   
    
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]    "{00000000-6E41-4FD3-8538-502F5495E5FC}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]       
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]  
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]  
[-HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]  
[-HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]  
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

=========

Télécharge ST_Fix de BatchMan sur ton bureau .


Il ne faut PAS exécuter ST_Fix dans les fichiers temporaires

Fermez vos navigateurs IMPORTANT !

1. Pour Windows Vista vous devez l'éxécuter en temps que Administrateur, pour cela faîtes un clic droit sur le fichier

ST_Fix.bat et cliquez sur Executer en temps que administrateur, si l'uac se déclanche cliquez sur Continuer.

Pour Windows XP un simple double clic sur le fichier ST_Fix.bat suffit pour le lancer.

2. ST_Fix analyse vos navigateurs ( Firefox et Internet Explorer ) et vérifie qu'une des pages lo.st eo.st eorezo... est

imposée. Si c'est le cas il va modifier en quelques secondes les configurations de vos navigateur afin de retrouver une

page d'accueil "normale".

3. Vous pouvez poster le rapport sur le forum en procédent de cette manière:

   1. Pour tout sélectionner: CTRL + A
   2. Pour tout copier : CTRL + C
   3. Pour tout coller : CTRL + V

jejedu59000 · Answer

Voilà la partie avec combofix, la seconde sera posté demain.

ComboFix 10-10-09.06 - Dell 600 11/10/2010  23:02:51.2.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.511.279 [GMT 2:00]
Lancé depuis: c:\documents and settings\Dell 600\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Dell 600\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1351 [VPS 100930-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP"
"c:\windows\Tasks\Scheduled Update for Ask Toolbar.job"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Ask.com
c:\program files\Ask.com\cobrand.ico
c:\program files\Ask.com\config.xml
c:\program files\Ask.com\favicon.ico
c:\program files\Ask.com\fv_9c.ico
c:\program files\Ask.com\GenericAskToolbar.dll
c:\program files\Ask.com\mupcfg.xml
c:\program files\Ask.com\SaUpdate.exe
c:\program files\Ask.com\UpdateTask.exe
c:\windows\Tasks\Scheduled Update for Ask Toolbar.job

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-11 au 2010-10-11  ))))))))))))))))))))))))))))))))))))
.

2010-10-11 18:48 . 2010-10-11 18:48	--------	d-----w-	c:\documents and settings\Dell 600\Application Data\skypePM
2010-10-11 18:47 . 2010-10-11 21:17	--------	d-----w-	c:\documents and settings\Dell 600\Application Data\Skype
2010-10-11 18:45 . 2010-10-11 18:45	--------	d-----w-	c:\program files\Fichiers communs\Skype
2010-10-11 18:45 . 2010-10-11 18:46	--------	d-----r-	c:\program files\Skype
2010-10-11 18:44 . 2010-10-11 18:45	--------	d-----w-	c:\documents and settings\All Users\Application Data\Skype
2010-10-10 17:50 . 2010-10-10 17:56	--------	d-----w-	c:\program files\ZHPDiag
2010-10-10 16:39 . 2010-10-10 16:39	--------	d-----w-	c:\program files\Enigma Software Group
2010-10-10 16:38 . 2010-10-10 17:12	--------	d-----w-	c:\windows\95431C66CF9A4913BFFF6050785AFB65.TMP
2010-10-10 16:38 . 2010-10-10 16:38	--------	d-----w-	c:\program files\Fichiers communs\Wise Installation Wizard
2010-10-07 21:03 . 2010-10-07 21:03	--------	d-----w-	c:\documents and settings\All Users\Application Data\McAfee
2010-10-07 21:03 . 2010-10-07 21:03	--------	d-----w-	c:\documents and settings\All Users\Application Data\McAfee Security Scan
2010-10-07 21:03 . 2010-10-07 21:03	--------	d-----w-	c:\program files\McAfee Security Scan
2010-10-07 20:56 . 2010-10-07 20:56	14808	----a-w-	c:\program files\Mozilla Firefox\plugin-container.exe
2010-10-07 20:56 . 2010-10-07 20:56	718296	----a-w-	c:\program files\Mozilla Firefox\mozcpp19.dll
2010-09-26 19:34 . 2010-09-26 19:34	--------	d-----w-	c:\documents and settings\Dell 600\Application Data\Malwarebytes
2010-09-26 19:34 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-26 19:34 . 2010-09-26 19:34	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-26 19:34 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-26 19:33 . 2010-09-26 19:34	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-26 16:35 . 2010-09-26 16:36	1514728	----a-w-	C:\FIXIO_PC_Cleaner_2010_Installer.exe
2010-09-26 09:50 . 2010-09-26 09:51	5741512	----a-w-	C:\spywarefighter.exe
2010-09-15 11:53 . 2010-09-15 12:33	--------	d-----w-	c:\program files\IP Changer
2010-09-15 11:53 . 2010-09-15 11:53	--------	d-----w-	c:\windows\IP Changer

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Pando Media Booster"="c:\program files\Pando Networks\Media Booster\PMB.exe" [2005-02-12 2938552]
"UpdateMyDrivers"="c:\program files\SmartTweak Software\UpdateMyDrivers\UpdateMyDrivers.exe" [2010-05-06 4373184]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-09-02 13351304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]
"SMSERIAL"="sm56hlpr.exe" [2006-10-29 557056]
"Dell QuickSet"="c:\program files\Dell\QuickSet\quickset.exe" [2006-06-29 1032192]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-10 344064]
"F5D7050v3"="c:\program files\Belkin\F5D7050v3\Belkinwcui.exe" [2007-10-30 1654784]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-01-11 246504]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2010-06-03 1144104]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-03-30 1820040]
"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\Dell 600\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
ScanPanel.lnk - c:\scanpanel\ScnPanel.exe [2010-5-30 1744896]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\usmt\migwiz.exe"=
"c:\Program Files\Pando Networks\Media Booster\PMB.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\WINDOWS\system32\dplaysvr.exe"=
"c:\Program Files\Opera\opera.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"56141:TCP"= 56141:TCP:Pando Media Booster
"56141:UDP"= 56141:UDP:Pando Media Booster

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [15/12/2003 21:48 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [15/12/2003 21:48 20560]
R2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [30/03/2010 11:16 1107336]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [30/05/2010 16:17 135664]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15/01/2010 14:49 227232]
.
Contenu du dossier 'Tâches planifiées'

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-30 14:17]

2010-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-30 14:17]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
uDefault_Search_URL = hxxp://www.google.com
mStart Page = hxxp://www.google.com
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
Trusted Zone: chat-land.org
FF - ProfilePath - c:\documents and settings\Dell 600\Application Data\Mozilla\Firefox\Profiles\vdp2bp6a.default\
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://www.cherche.us/
FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ARS&o=15084&locale=fr_FR&apn_uid=F56F8176-0F55-458C-A88D-0FD155E828EB&apn_ptnrs=AG&apn_sauid=87F8B2F6-6557-411C-9347-DB3E71465487&apn_dtid=&q=
FF - plugin: c:\program files\DivX\DivX Plus Web Player
pdivx32.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29
pGoogleOneClick8.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins
ppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins
prpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pFoxitReaderPlugin.dll
FF - plugin: c:\program files\Pando Networks\Media Booster
pPandoWebPlugin.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

URLSearchHooks-{00000000-6E41-4FD3-8538-502F5495E5FC} - c:\program files\Ask.com\GenericAskToolbar.dll
BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)


.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-10-11  23:21:39
ComboFix-quarantined-files.txt  2010-10-11 21:21
ComboFix2.txt  2010-10-10 19:56

Avant-CF: 23 884 713 984 octets libres
Après-CF: 23 883 300 864 octets libres

- - End Of File - - F0C8F72BD16153D4F35916A530D549C6

jfkpresident · Answer

J'attend donc le rapport StFix qui va te débarrasser de la page d'accueil L.O.S.T

jejedu59000 · Answer

Voici le rapport StFix:

########################################################################
#
# ST_Fix v.2.05 par Batch_Man
# Mise à jour le 06/08/2009
# Début a 20:35 le 12/10/2010
# Système d'exploitation: Microsoft Windows XP 
# Service Pack: Service Pack 2 
# Mode de boot: Normal 
# Lancé de C:\Documents and Settings\Dell 600\Bureau\ST_Fix.bat
#
################################ Suppression ###############################
#
#
################################## Terminé ################################

jfkpresident · Answer

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

jejedu59000 · Answer

le rogue security tool a était supprimé et enlevé de la quarantaine

voici le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4699

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

13/10/2010 18:17:28
mbam-log-2010-10-13 (18-17-28).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 188475
Temps écoulé: 52 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Dell 600\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

jfkpresident · Answer

tres bien ,maintenant recolle moi un nouveau log ZhpDiag afin de faire le point .

jejedu59000 · Answer

Le voici

 http://www.cijoint.fr/cjlink.php?file=cj201010/cije8EnndX.txt

jfkpresident · Answer

relance MBAM mais ce coup ci met le a jour avant de le lancer ! et colle moi le rapport obtenu .

jejedu59000 · Answer

Désolé pour le retard, mais voici le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4814

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

15/10/2010 12:07:17
mbam-log-2010-10-15 (12-07-17).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 187898
Temps écoulé: 48 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Documents and Settings\Dell 600\Local Settings\Application Data\0397974231.exe.vir (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{E267F9F4-4290-4BD6-A9E5-927EDAD7ADEA}\RP175\A0373237.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.

jfkpresident · Answer

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "OK".

3/Coche ces cases (et pas d'autres !):

M0 - MFSP: prefs.js [Dell 600 - vdp2bp6a.default] http://www.cherche.us/");       
M2 - MFEP: prefs.js [Dell 600 - vdp2bp6a.default	oolbar@ask.com] [] Ask Toolbar 3.6.6.117 (.Ask.com.)       
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}    
[HKCU\Software\AppDataLow\AskToolbarInfo]       
[HKCU\Software\Ask.com]       
[HKCU\Software\AskToolbar]       
[HKLM\Software\Trymedia Systems]     
O69 - SBI: C:\Documents and Settings\Dell 600\Application Data\Mozilla\Firefox\Profiles\vdp2bp6a.default\searchplugins\askcom.xml    
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("browser.startup.homepage", "http://www.cherche.us/");       
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.cbid", "AG");       
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.default-channel-url-mask", "http://fr.ask.com/web?q={query}&qsrc={qsrc}&o={o}&l={l}");      
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.first-launch-url", "file:///C:/Program%20Files/Acro%20Software/CutePDF%20Writer/README.HTM");    
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.fresh-install", false);     
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.l", "dis");      
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.last-config-req", "1286879937966");      
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.locale", "fr_FR");       
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.o", "15084");     
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.options-lang", "fr");     
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.options-locale", "UK");     
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.overlay-reloaded-using-restart", true);  
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.qsrc", "2871");      
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.r", "6");      
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.search-history-queries", "DECK DEMOISELLE DE FORTUNE YU-gi-oh$");      
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.asktb.search-suggestions-enabled", true);      
O69 - SBI: prefs.js [Dell 600 - vdp2bp6a.default] user_pref("extensions.enabledItems", "toolbar@ask.com:3.6.6.117,{20a82645-c095-46ed-80e3-08825760534b}:1.1,{635abd67-4fe9-1b23-4f01-     
O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://websearch.ask.com    
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} [DefaultScope] - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}    

4/Pour finir clique sur "Nettoyer" .


5/colle le rapport obtenu .

jejedu59000 · Answer

Voilà le rapport:

Rapport de ZHPFix 1.12.3206 par Nicolas Coolman, Update du 04/10/2010
Fichier d'export Registre : 
Run by Dell 600 at 16/10/2010 11:03:26
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\AskToolbarInfo  => Clé supprimée avec succès
HKCU\Software\Ask.com  => Clé supprimée avec succès
HKCU\Software\AskToolbar  => Clé supprimée avec succès
HKLM\Software\Trymedia Systems  => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} [DefaultScope] - (cherche.us) - http://www.cherche.usA%23FFFFF0%3B&q={searchTerms}  => Clé absente

========== Elément(s) de donnée du Registre ==========
O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis  => Donnée remplacée avec succès

========== Préférences navigateur ==========
/*user_pref("extensions.asktb.cbid", "AG"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.default-channel-url-mask", "https://fr.ask.com/{query}&qsrc={qsrc}&o={o}&l={l}"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.first-launch-url", "file:///C:/Program%20Files/Acro%20Software/CutePDF%20Writer/README.HTM"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.fresh-install", false); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.l", "dis"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.last-config-req", "1286879937966"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.locale", "fr_FR"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.o", "15084"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.options-lang", "fr"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.options-locale", "UK"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.overlay-reloaded-using-restart", true); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.qsrc", "2871"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.r", "6"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.search-history-queries", "DECK DEMOISELLE DE FORTUNE YU-gi-oh$"); */  => Valeur supprimée avec succès
/*user_pref("extensions.asktb.search-suggestions-enabled", true); */  => Valeur supprimée avec succès
/*user_pref("extensions.enabledItems",   => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Documents and Settings\Dell 600\Application Data\Mozilla\Firefox\Profiles\vdp2bp6a.default\extensions\  => Fichier supprimé au reboot

========== Fichier(s) ==========
c:\documents and settings\dell 600\application data\mozilla\firefox\profiles\vdp2bp6a.default\searchplugins\askcom.xml  => Supprimé et mis en quarantaine

========== Logiciel(s) ==========
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}  => Logiciel supprimé avec succès


========== Récapitulatif ==========
5 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)
1 : Logiciel(s)
16 : Préférences navigateur


End of the scan

jfkpresident · Answer

Tres bien ,comment va le pc ?

jejedu59000 · Answer

Il na plus aucun problème à présent :), merci de votre aide

jfkpresident · Answer

On va pouvoir terminer ce topique :

Met a jour ton OS , SP3==> https://www.clubic.com/telecharger-fiche242026-windows-xp-service-pack-3.html

==*Nettoyage des outils*==
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage

===========

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain. 

* Désactivation : 
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok. 

* Activation : 
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs" 
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur.. 

un peu de lecture afin de ne pas revenir ici

Je met en "résolu" et te souhaite un bon surf ^^

Spy hunter

27 réponses

Discussions similaires

Newsletters