probleme redirection (gomeo,....)Fermé

Question

Bonjour, 

lorsque j'ouvre une page internet, je suis redirigé vers des sites publicitaires ; ayant lu les discussions à ce sujet et les manips à suivre mais pas "calé" du tout pour résoudre ce genre de problème, une petite aide serait la bienvenue ; merci à vous.

siltex · Answer

Bonjour,

Télécharge AD-Remover

/!\ Déconnecte-toi et ferme toutes les applications en cours /!\
Double clique (clic-droit "Exécuter en tant qu'administrateur" pour Vista/7 ) sur le programme pour le lancer
Au menu principal choisissez l'option "Scanner"
/!\ Laisse travailler l'outil /!\
Un rapport apparaitra à la fin, postez le sur le forum afin qu'un membre vous donne les directives à suivre.

(Le rapport est aussi sauvegardé sous C:\Ad-Report-SCAN.log) 

Cordialement Siltex_

juju666 · Answer

Bonjour,

Pour suivre merci.

gil009 · Answer

bonjour, et merci de votre aide ; çi-joint le rapport :


======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:35:33 le 10/03/2011 | Mode normal | Option: SCAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Édition familiale (Service Pack 2 - X86)
Nom du PC: GILLES-TDALQ2RS
Utilisateur actuel: gilles
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
.
.
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version Impossible d'obtenir la version *
.
C:\Documents and Settings\gilles\..\eqx59crc.default\prefs.js - browser.search.defaultenginename: OfferBox Search 
C:\Documents and Settings\gilles\..\eqx59crc.default\prefs.js - browser.search.selectedEngine: Google 
C:\Documents and Settings\gilles\..\eqx59crc.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.13 
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://club-internet.fr/
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2592 Octet(s)
C:\Ad-Report-SCAN[1].txt - 3971 Octet(s)
C:\Ad-Report-SCAN[2].txt - 4024 Octet(s)
C:\Ad-Report-SCAN[3].txt - 2485 Octet(s)
C:\Ad-Report-SCAN[4].txt - 2394 Octet(s)
.
Fin à: 11:38:24, 10/03/2011
.
============== E.O.F - SCAN[4] ==============

siltex · Answer

Relance Ad-R mais cette fois ci Suppression

Poste le rapport dans ta prochaine réponse.

Cordialement Siltex_

juju666 · Answer

Raté

@gil009: ouvre ça : C:\Ad-Report-CLEAN[1].txt  et poste le contenu

@+

gil009 · Answer

çi-joint le contenu :

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:41:08 le 07/03/2011 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Édition familiale (Service Pack 2 - X86)
Nom du PC: GILLES-TDALQ2RS
Utilisateur actuel: gilles
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\AppDataLow\software\{C7EF3A5D-CE86-2096-6973-8EC55FB805F5}
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version Impossible d'obtenir la version *
.
C:\Documents and Settings\gilles\..\eqx59crc.default\prefs.js - browser.search.defaultenginename: OfferBox Search 
C:\Documents and Settings\gilles\..\eqx59crc.default\prefs.js - browser.search.selectedEngine: Google 
C:\Documents and Settings\gilles\..\eqx59crc.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.13 
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 2340 Octet(s)
C:\Ad-Report-SCAN[1].txt - 3971 Octet(s)
C:\Ad-Report-SCAN[2].txt - 4024 Octet(s)
C:\Ad-Report-SCAN[3].txt - 2485 Octet(s)
.
Fin à: 18:43:05, 07/03/2011
.
============== E.O.F - CLEAN[1] ==============

juju666 · Answer

Allé on passe aux choses sérieuses:

Attention, avant de commencer, lit attentivement la procédure, et imprime la  

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  
tutoriel combofix  

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt   

@+

gil009 · Answer

bonjour, 

j'ai bien enregistré ce lien dans le bureau mais quand je veux l'ouvrir ça me m'affiche que ce n'est pas une application valide win.32 ;

juju666 · Answer

Niark niark.

On va passer autre chose en attendant.

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau. 

&#9654 &#9654 Miroir 1 si inaccessible  
&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

Ensuite:

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

@+

gil009 · Answer

çi-joint le rapport malwarebyte : 

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1357
Windows 5.1.2600 Service Pack 2

10/03/2011 12:41:29
mbam-log-2011-03-10 (12-41-29).txt

Type de recherche: Examen complet (C:\|E:\|F:\|G:\|H:\|I:\|J:\|L:\|)
Eléments examinés: 119826
Temps écoulé: 21 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{2EF79AEE-148B-4844-8AE2-38989EBBB5D4}\RP845\A0137056.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

gil009 · Answer

çi-joint le rapport zhpdiag :

https://pjjoint.malekal.com/files.php?id=4e093ba3d2149

gil009 · Answer

cijoint. fr/cjlink.php?file=cj201103/cijUFe7tz3.txt

juju666 · Answer

Ah nan plus conhost.exe x)

&#9654 Télécharge //support.kaspersky.com/downloads/utils/tdsskiller.exe TDSS Killer (de Kaspersky Labs) sur ton Bureau  (ajoute http devant, on a un soucis avec les urls)
&#9654 Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit  
dessus, et sur exécuter en tant qu'administrateur)  
&#9654 Clique sur Start Scan  
&#9654 Si l'outil a trouvé des éléments, choisi Cure,   
puis sur Reboot Now  
&#9654 Le PC va redémarrer, et un rapport va s'ouvrir  
&#9654 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer  
N° de version_Date_Heure_log.txt)  

ensuite, sur la procédure de combofix, le lien de téléchargement: clic droit>enregistrer sous>gil009.exe
essaye de le relancer

gil009 · Answer

voici le rapport kaspersky :

2011/03/10 13:22:10.0468	TDSS rootkit removing tool 2.4.1.2 Aug 16 2010 09:46:23
2011/03/10 13:22:10.0468	================================================================================
2011/03/10 13:22:10.0468	SystemInfo:
2011/03/10 13:22:10.0468	
2011/03/10 13:22:10.0468	OS Version: 5.1.2600 ServicePack: 2.0
2011/03/10 13:22:10.0468	Product type: Workstation
2011/03/10 13:22:10.0468	ComputerName: GILLES-TDALQ2RS
2011/03/10 13:22:10.0468	UserName: gilles
2011/03/10 13:22:10.0468	Windows directory: C:\WINDOWS
2011/03/10 13:22:10.0468	System windows directory: C:\WINDOWS
2011/03/10 13:22:10.0468	Processor architecture: Intel x86
2011/03/10 13:22:10.0468	Number of processors: 2
2011/03/10 13:22:10.0468	Page size: 0x1000
2011/03/10 13:22:10.0468	Boot type: Normal boot
2011/03/10 13:22:10.0468	================================================================================
2011/03/10 13:22:10.0718	Initialize success
2011/03/10 13:22:26.0125	================================================================================
2011/03/10 13:22:26.0125	Scan started
2011/03/10 13:22:26.0125	Mode: Manual;
2011/03/10 13:22:26.0125	================================================================================
2011/03/10 13:22:26.0875	Aavmker4        (479c9835b91147be1a92cb76fad9c6de) C:\WINDOWS\system32\drivers\Aavmker4.sys
2011/03/10 13:22:26.0937	ACPI            (0bd94fbfc14ea3606cd6ca4c0255baa3) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/03/10 13:22:26.0984	ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/03/10 13:22:27.0046	aec             (1ee7b434ba961ef845de136224c30fec) C:\WINDOWS\system32\drivers\aec.sys
2011/03/10 13:22:27.0078	AFD             (55e6e1c51b6d30e54335750955453702) C:\WINDOWS\System32\drivers\afd.sys
2011/03/10 13:22:27.0187	AR5523          (972c1b742ef5f8136f7d7369e0c07d7f) C:\WINDOWS\system32\DRIVERS\ar5523.sys
2011/03/10 13:22:27.0203	Arp1394         (f0d692b0bffb46e30eb3cea168bbc49f) C:\WINDOWS\system32\DRIVERS\arp1394.sys
2011/03/10 13:22:27.0281	Aspi32          (54ab078660e536da72b21a27f56b035b) C:\WINDOWS\system32\drivers\aspi32.sys
2011/03/10 13:22:27.0343	aswFsBlk        (cba53c5e29ae0a0ce76f9a2be3a40d9e) C:\WINDOWS\system32\drivers\aswFsBlk.sys
2011/03/10 13:22:27.0375	aswMon2         (a1c52b822b7b8a5c2162d38f579f97b7) C:\WINDOWS\system32\drivers\aswMon2.sys
2011/03/10 13:22:27.0375	aswRdr          (b6e8c5874377a42756c282fac2e20836) C:\WINDOWS\system32\drivers\aswRdr.sys
2011/03/10 13:22:27.0390	aswSP           (b93a553c9b0f14263c8f016a44c3258c) C:\WINDOWS\system32\drivers\aswSP.sys
2011/03/10 13:22:27.0406	aswTdi          (1408421505257846eb336feeef33352d) C:\WINDOWS\system32\drivers\aswTdi.sys
2011/03/10 13:22:27.0453	AsyncMac        (02000abf34af4c218c35d257024807d6) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/03/10 13:22:27.0484	atapi           (cdfe4411a69c224bd1d11b2da92dac51) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/03/10 13:22:27.0531	ATHFMWDL        (3fbf3d228fa335cbf8b9cd74fa08f680) C:\WINDOWS\system32\Drivers\ATHFMWDL.sys
2011/03/10 13:22:27.0562	Atmarpc         (ec88da854ab7d7752ec8be11a741bb7f) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/03/10 13:22:27.0609	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/03/10 13:22:27.0656	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/03/10 13:22:27.0734	CCDECODE        (6163ed60b684bab19d3352ab22fc48b2) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
2011/03/10 13:22:27.0796	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/03/10 13:22:27.0828	Cdfs            (cd7d5152df32b47f4e36f710b35aae02) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/03/10 13:22:27.0859	Cdrom           (af9c19b3100fe010496b1a27181fbf72) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/03/10 13:22:27.0968	dfvxhjc         (589312a3b46721c5a751e4d5222a89be) C:\WINDOWS\system32\drivers	nveizsx.sys
2011/03/10 13:22:28.0000	Disk            (00ca44e4534865f8a3b64f7c0984bff0) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/03/10 13:22:28.0031	dmboot          (e2d3b7620310fe56685f9b15a6b404b3) C:\WINDOWS\system32\drivers\dmboot.sys
2011/03/10 13:22:28.0062	dmio            (c77f5c20aa70197a69aa84baa9de43c8) C:\WINDOWS\system32\drivers\dmio.sys
2011/03/10 13:22:28.0109	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/03/10 13:22:28.0156	DMusic          (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
2011/03/10 13:22:28.0187	drmkaud         (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/03/10 13:22:28.0234	Fastfat         (3117f595e9615e04f05a54fc15a03b20) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/03/10 13:22:28.0250	Fdc             (ced2e8396a8838e59d8fd529c680e02c) C:\WINDOWS\system32\drivers\Fdc.sys
2011/03/10 13:22:28.0328	Fips            (8b121ff880683607ab2aef0340721718) C:\WINDOWS\system32\drivers\Fips.sys
2011/03/10 13:22:28.0343	Flpydisk        (0dd1de43115b93f4d85e889d7a86f548) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/03/10 13:22:28.0375	FltMgr          (3d234fb6d6ee875eb009864a299bea29) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/03/10 13:22:28.0406	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/03/10 13:22:28.0437	Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/03/10 13:22:28.0484	Gpc             (c0f1d4a21de5a415df8170616703debf) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/03/10 13:22:28.0531	HDAudBus        (3fcc124b6e08ee0e9351f717dd136939) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/03/10 13:22:28.0593	hidusb          (1de6783b918f540149aa69943bdfeba8) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/03/10 13:22:28.0640	HTTP            (9f8b0f4276f618964fd118be4289b7cd) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/03/10 13:22:28.0687	i8042prt        (d1efcbd693b5ba21314d06368c471070) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/03/10 13:22:28.0703	Imapi           (f8aa320c6a0409c0380e5d8a99d76ec6) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/03/10 13:22:28.0843	IntcAzAudAddService (811b31e0e0ac7be484efbffc42afcbbe) C:\WINDOWS\system32\drivers\RtkHDAud.sys
2011/03/10 13:22:28.0937	ip6fw           (4448006b6bc60e6c027932cfc38d6855) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/03/10 13:22:28.0968	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/03/10 13:22:29.0015	IpInIp          (e1ec7f5da720b640cd8fb8424f1b14bb) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/03/10 13:22:29.0078	IpNat           (e2168cbc7098ffe963c6f23f472a3593) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/03/10 13:22:29.0078	IPSec           (64537aa5c003a6afeee1df819062d0d1) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/03/10 13:22:29.0093	IRENUM          (50708daa1b1cbb7d6ac1cf8f56a24410) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/03/10 13:22:29.0125	isapnp          (54632f1a7de61dc3615d756f2a90fa72) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/03/10 13:22:29.0187	ISODrive        (b72e05939b5b956713076e0f1c0b9243) C:\Program Files\UltraISO\drivers\ISODrive.sys
2011/03/10 13:22:29.0234	Kbdclass        (e798705e8dc7fab596ef6bfdf167e007) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/03/10 13:22:29.0250	kbdhid          (62dd5eefcec4ef4163f1168d4262a9e4) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/03/10 13:22:29.0281	kmixer          (ba5deda4d934e6288c2f66caf58d2562) C:\WINDOWS\system32\drivers\kmixer.sys
2011/03/10 13:22:29.0312	KSecDD          (674d3e5a593475915dc6643317192403) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/03/10 13:22:29.0375	MDC8021X        (8fee53c104223973ed9919936d9cd156) C:\WINDOWS\system32\DRIVERS\mdc8021x.sys
2011/03/10 13:22:29.0406	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/03/10 13:22:29.0437	Modem           (5ac7e16f5b40a6da14b5f2b3ada4693e) C:\WINDOWS\system32\drivers\Modem.sys
2011/03/10 13:22:29.0453	Mouclass        (7d4f19411bd941e1d432a99e24230386) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/03/10 13:22:29.0468	mouhid          (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/03/10 13:22:29.0500	MountMgr        (65653f3b4477f3c63e68a9659f85ee2e) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/03/10 13:22:29.0546	MRxDAV          (29414447eb5bde2f8397dc965dbb3156) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/03/10 13:22:29.0578	MRxSmb          (fb6c89bb3ce282b08bdb1e3c179e1c39) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/03/10 13:22:29.0609	Msfs            (561b3a4333ca2dbdba28b5b956822519) C:\WINDOWS\system32\drivers\Msfs.sys
2011/03/10 13:22:29.0640	MSKSSRV         (ae431a8dd3c1d0d0610cdbac16057ad0) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/03/10 13:22:29.0656	MSPCLOCK        (13e75fef9dfeb08eeded9d0246e1f448) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/03/10 13:22:29.0671	MSPQM           (1988a33ff19242576c3d0ef9ce785da7) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/03/10 13:22:29.0703	mssmbios        (469541f8bfd2b32659d5d463a6714bce) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/03/10 13:22:29.0750	MSTEE           (bf13612142995096ab084f2db7f40f77) C:\WINDOWS\system32\drivers\MSTEE.sys
2011/03/10 13:22:29.0781	Mup             (82035e0f41c2dd05ae41d27fe6cf7de1) C:\WINDOWS\system32\drivers\Mup.sys
2011/03/10 13:22:29.0828	NABTSFEC        (5c8dc6429c43dc6177c1fa5b76290d1a) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
2011/03/10 13:22:29.0875	NDIS            (558635d3af1c7546d26067d5d9b6959e) C:\WINDOWS\system32\drivers\NDIS.sys
2011/03/10 13:22:29.0906	NdisIP          (520ce427a8b298f54112857bcf6bde15) C:\WINDOWS\system32\DRIVERS\NdisIP.sys
2011/03/10 13:22:29.0953	NdisTapi        (08d43bbdacdf23f34d79e44ed35c1b4c) C:\WINDOWS\system32\DRIVERS
distapi.sys
2011/03/10 13:22:29.0968	Ndisuio         (34d6cd56409da9a7ed573e1c90a308bf) C:\WINDOWS\system32\DRIVERS
disuio.sys
2011/03/10 13:22:29.0984	NdisWan         (0b90e255a9490166ab368cd55a529893) C:\WINDOWS\system32\DRIVERS
diswan.sys
2011/03/10 13:22:30.0000	NDProxy         (59fc3fb44d2669bc144fd87826bb571f) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/03/10 13:22:30.0015	NetBIOS         (3a2aca8fc1d7786902ca434998d7ceb4) C:\WINDOWS\system32\DRIVERS
etbios.sys
2011/03/10 13:22:30.0031	NetBT           (0c80e410cd2f47134407ee7dd19cc86b) C:\WINDOWS\system32\DRIVERS
etbt.sys
2011/03/10 13:22:30.0078	NIC1394         (5c5c53db4fef16cf87b9911c7e8c6fbc) C:\WINDOWS\system32\DRIVERS
ic1394.sys
2011/03/10 13:22:30.0109	Npfs            (4f601bcb8f64ea3ac0994f98fed03f8e) C:\WINDOWS\system32\drivers\Npfs.sys
2011/03/10 13:22:30.0140	Ntfs            (19a811ef5f1ed5c926a028ce107ff1af) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/03/10 13:22:30.0171	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/03/10 13:22:30.0343	nv              (8c0456001b6900114bbb1c548bd8aaf5) C:\WINDOWS\system32\DRIVERS
v4_mini.sys
2011/03/10 13:22:30.0453	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS
wlnkflt.sys
2011/03/10 13:22:30.0468	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS
wlnkfwd.sys
2011/03/10 13:22:30.0515	ohci1394        (0951db8e5823ea366b0e408d71e1ba2a) C:\WINDOWS\system32\DRIVERS\ohci1394.sys
2011/03/10 13:22:30.0546	Parport         (318696359ac7df48d1e51974ec527dd2) C:\WINDOWS\system32\drivers\Parport.sys
2011/03/10 13:22:30.0562	PartMgr         (3334430c29dc338092f79c38ef7b4cd0) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/03/10 13:22:30.0578	ParVdm          (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/03/10 13:22:30.0593	PCI             (7c5da5c1ed801ad8b0309d5514f0b75e) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/03/10 13:22:30.0625	PCIIde          (f4bfde7209c14a07aaa61e4d6ae69eac) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/03/10 13:22:30.0640	Pcmcia          (641da274e163617ea7a33506bc6da8e3) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/03/10 13:22:30.0687	pcouffin        (5b6c11de7e839c05248ced8825470fef) C:\WINDOWS\system32\Drivers\pcouffin.sys
2011/03/10 13:22:30.0937	PptpMiniport    (1c5cc65aac0783c344f16353e60b72ac) C:\WINDOWS\system32\DRIVERSaspptp.sys
2011/03/10 13:22:30.0953	Processor       (f480712b761e538bc8e44ede60f3a3c3) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/03/10 13:22:30.0968	PSched          (48671f327553dcf1d27f6197f622a668) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/03/10 13:22:31.0000	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/03/10 13:22:31.0093	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERSasacd.sys
2011/03/10 13:22:31.0109	Rasl2tp         (98faeb4a4dcf812ba1c6fca4aa3e115c) C:\WINDOWS\system32\DRIVERSasl2tp.sys
2011/03/10 13:22:31.0125	RasPppoe        (7306eeed8895454cbed4669be9f79faa) C:\WINDOWS\system32\DRIVERSaspppoe.sys
2011/03/10 13:22:31.0140	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERSaspti.sys
2011/03/10 13:22:31.0171	Rdbss           (03b965b1ca47f6ef60eb5e51cb50e0af) C:\WINDOWS\system32\DRIVERSdbss.sys
2011/03/10 13:22:31.0187	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/03/10 13:22:31.0234	RDPWD           (b54cd38a9ebfbf2b3561426e3fe26f62) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/03/10 13:22:31.0265	redbook         (2cc30b68dd62b73d444a41322cd7fc4c) C:\WINDOWS\system32\DRIVERSedbook.sys
2011/03/10 13:22:31.0328	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/03/10 13:22:31.0406	Serial          (653201755ca96ab4aaa4131daf6da356) C:\WINDOWS\system32\drivers\Serial.sys
2011/03/10 13:22:31.0421	Sfloppy         (0d13b6df6e9e101013a7afb0ce629fe0) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/03/10 13:22:31.0484	SLIP            (5caeed86821fa2c6139e32e9e05ccdc9) C:\WINDOWS\system32\DRIVERS\SLIP.sys
2011/03/10 13:22:31.0531	splitter        (0ce218578fff5f4f7e4201539c45c78f) C:\WINDOWS\system32\drivers\splitter.sys
2011/03/10 13:22:31.0562	sr              (b52181023b827acda36c1b76751ebffd) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/03/10 13:22:31.0593	Srv             (7a4f147cc6b133f905f6e65e2f8669fb) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/03/10 13:22:31.0625	streamip        (284c57df5dc7abca656bc2b96a667afb) C:\WINDOWS\system32\DRIVERS\StreamIP.sys
2011/03/10 13:22:31.0640	swenum          (03c1bae4766e2450219d20b993d6e046) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/03/10 13:22:31.0671	swmidi          (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
2011/03/10 13:22:31.0734	sysaudio        (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/03/10 13:22:31.0781	Tcpip           (b17f582c4661938d1cd019ba4be53d7f) C:\WINDOWS\system32\DRIVERS	cpip.sys
2011/03/10 13:22:31.0859	TDPIPE          (38d437cf2d98965f239b0abcd66dcb0f) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/03/10 13:22:31.0875	TDTCP           (ed0580af02502d00ad8c4c066b156be9) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/03/10 13:22:31.0890	TermDD          (a540a99c281d933f3d69d55e48727f47) C:\WINDOWS\system32\DRIVERS	ermdd.sys
2011/03/10 13:22:31.0921	Udfs            (12f70256f140cd7d52c58c7048fde657) C:\WINDOWS\system32\drivers\Udfs.sys
2011/03/10 13:22:31.0953	Update          (aff2e5045961bbc0a602bb6f95eb1345) C:\WINDOWS\system32\DRIVERS\update.sys
2011/03/10 13:22:32.0000	usbccgp         (bffd9f120cc63bcbaa3d840f3eef9f79) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/03/10 13:22:32.0062	usbehci         (15e993ba2f6946b2bfbbfcd30398621e) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/03/10 13:22:32.0062	usbhub          (c72f40947f92cea56a8fb532edf025f1) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/03/10 13:22:32.0093	usbohci         (bdfe799a8531bad8a5a985821fe78760) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/03/10 13:22:32.0125	usbprint        (a42369b7cd8886cd7c70f33da6fcbcf5) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/03/10 13:22:32.0171	usbstor         (6cd7b22193718f1d17a47a1cd6d37e75) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/03/10 13:22:32.0171	VgaSave         (8a60edd72b4ea5aea8202daf0e427925) C:\WINDOWS\System32\drivers\vga.sys
2011/03/10 13:22:32.0218	VolSnap         (313b1a0d5db26dfe1c34a6c13b2ce0a7) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/03/10 13:22:32.0234	Wanarp          (984ef0b9788abf89974cfed4bfbaacbc) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/03/10 13:22:32.0296	wdmaud          (efd235ca22b57c81118c1aeb4798f1c1) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/03/10 13:22:32.0390	WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/03/10 13:22:32.0437	WSTCODEC        (d5842484f05e12121c511aa93f6439ec) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
2011/03/10 13:22:32.0484	================================================================================
2011/03/10 13:22:32.0484	Scan finished
2011/03/10 13:22:32.0484	================================================================================

gil009 · Answer

pour combofix, j'ai bien mis gil009.exe mais ca m'affiche tjrs que ce n'est pas une application valide win32 ; encore merci pour l'aide.

juju666 · Answer

Le rootkit...

ouvre l'invite de commandes (démarrer>exécuter>cmd.exe>valide par enter)

Tape ceci:

sc stop pfsvgae 

valide par enter.

Retente de lancer combofix

gil009 · Answer

ca m'affiche ça en faisant cette manip : que ce que j'ai tapé n'est pas reconnu en tant  que commande externe ou interne, un prog executable ou un fichier de commande ;
et combofix ne demarrre pas.

juju666 · Answer

On va lui faire sa fête au rootkit t'inquiète \o_

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 O4 - HKLM\..\Run: [conhost] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\gilles\Application Data\Microsoft\conhost.exe  
[HKCU\Software\OfferBox]    
[HKLM\Software\OfferBox]  
O43 - CFD: 07/03/2011 - 09:28:22 ----D- C:\Program Files\OfferBox     
O44 - LFC:[MD5.589312A3B46721C5A751E4D5222A89BE] - 10/03/2011 - 12:42:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers	nveizsx.sys   [61440]
O58 - SDL:[MD5.589312A3B46721C5A751E4D5222A89BE] - 10/03/2011 - 12:42:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers	nveizsx.sys   [61440]
O64 - Services: CurCS - C:\DOCUME~1\gilles\LOCALS~1\Temp\pfsvgae.sys (.not file.) - pfsvgae (pfsvgae)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PFSVGAE   
O64 - Services: CurCS - (.not file.) - TDSSserv (TDSSserv)  .(.Pas de propriétaire - Pas de description.) - LEGACY_TDSSSERV    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] -- svchost.exe     
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] -- svchost.exe     
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-20] [feature_enable_ie_compression] -- svchost.exe    
[MD5.00000000000000000000000000000000] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\gilles\Application Data\dwm.exe   [172544]  
ServiceStop:TDSSSERV
ServiceStop:pfsvgae 
EmptyTemp
EmptyFlash


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

@+

gil009 · Answer

voilà le rapport zhpfix :

Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-10-03-2011-13-58-30.txt
Run by gilles at 10/03/2011 13:58:30
Windows XP Home Edition Service Pack 2 (Build 2600)
Web site : process/zhpfix.html
Contact : 

========== Clé(s) du Registre ==========
HKCU\Software\OfferBox  => Clé supprimée avec succès
HKLM\Software\OfferBox  => Clé supprimée avec succès
O64 - Services: CurCS - C:\DOCUME~1\gilles\LOCALS~1\Temp\pfsvgae.sys (.not file.) - pfsvgae (pfsvgae)  .(.Pas de propriétaire - Pas de description.) - LEGACY_PFSVGAE  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - TDSSserv (TDSSserv)  .(.Pas de propriétaire - Pas de description.) - LEGACY_TDSSSERV  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [conhost] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\gilles\Application Data\Microsoft\conhost.exe  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [feature_enable_ie_compression] -- svchost.exe  => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [feature_enable_ie_compression] -- svchost.exe  => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-20] [feature_enable_ie_compression] -- svchost.exe  => Valeur absente

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 9

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 58

========== Etat des services ==========
TDSSSERV  => Service arrêté avec succès
pfsvgae  => Service arrêté avec succès

========== Autre ==========
EmptyFlash  => Format Non supporté


========== Récapitulatif ==========
4 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
2 : Etat des services
1 : Autre


End of the scan

juju666 · Answer

Okey

Retélécharge combofix et relance le, ça devrait passer :)

gil009 · Answer

ci-joint le rapport combofix :

pjjoint.malekal.com/files.php?id=3f83468cdc1112

juju666 · Answer

Vu

&#9654 Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau. 

jpshortstuff.247fixes.com/SystemLook.exe  

images.malwareremoval.com/jpshortstuff/SystemLook.exe 
 

&#9654 Double-click SystemLook.exe pour le lançer. 
&#9654 Clic droit|copier le texte dans la balise code ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook: 

 
:filefind
beep.sys   

&#9654 Click le bouton Look pour commencer le scan. 
&#9654 Copie-colle dans ta prochaine réponse le rapport contenu du fichier texte qui s'affiche 

&#9654 Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt 

@+

gil009 · Answer

impossible de lancer systemlook : ça m'affiche script required

gil009 · Answer

plus ça :

Malwarebytes' Anti-Malware 1.38
Database version: 2325


Files Infected:
c:\SystemLook.exe (Trojan.Agent) -> Not selected for removal. [3857535134303627615290848570783232323215708970] 

Back to top of the page up there ^

juju666 · Answer

Mouarf t'as quelle version de MBAM toi, un truc de la guerre :P

Désinstalle le il sert à rien vu comment il est dépassé ! SL.exe n'est pas néfaste ;) désactive aussi ton antivirus le temps de la manipulation ;)

gil009 · Answer

j'ai desinstallé malawyre mais ça me marque tjrs "script required" quand je lance systemkook.

juju666 · Answer

est-ce que tu as copié ça:

:filefind
beep.sys  

dans le cadre blanc?

gil009 · Answer

non....désolé

juju666 · Answer

niark niark ^^

gil009 · Answer

çi-joint le rapport systelook :

SystemLook 04.09.10 by jpshortstuff
Log created at 14:51 on 10/03/2011 by gilles
Administrator - Elevation successful

========== filefind ==========

Searching for "beep.sys"
No files found.

-= EOF =-

juju666 · Answer

Pas de beep.sys à l'horizon c est embêtant ^^

Aide toi de cette page: https://forum.malekal.com/viewtopic.php?t=19657&start=

Quand le bloc note apparait colle ça: c:\windows\System32\drivers\beep.sys 

Poste le rapport :]

gil009 · Answer

j'appuie sur "j'accepte" à la fin mais rien ne se passe ; j'ai fait la manip 2 fois ;

juju666 · Answer

t'es arrivé à ça alors:

Vous devez confirmer la restauration du fichier en appuyant sur la touche o et Entrée

?

Si oui relance ton pc manuellement

gil009 · Answer

ça me répond qu"aucun fichier n'a été trouvé à l'emplacement prévu" ;

juju666 · Answer

Tu as ton cd de windows sous le coude?

gil009 · Answer

pas sous la main non ; il le faut vraiment ? sinon je vais le chercher ;

juju666 · Answer

On va en avoir besoin oui ^^

Démarrer>Exécuter
Tape cmd.exe
Valide par enter
Dans la fenêtre noire tape: sfc /scannow
Valide en Enter

Introduit ton cd de windows :)

Quand c'est terminé refais CECI pour vérifier qu'il soit bien replacé ;)

gil009 · Answer

il me faut aller le chercher ; je te tiens au courant ; je te remercie encore pour ton aide juju666 ;

juju666 · Answer

Sans ça, on peut télécharger le sp3, le décompresser, etc etc... mais c'est plus compliqué ^^

gil009 · Answer

çi-joint le rapport systemlook après avoir mis le cd windows :

SystemLook 04.09.10 by jpshortstuff
Log created at 16:28 on 10/03/2011 by gilles
Administrator - Elevation successful

========== filefind ==========

Searching for "beep.sys"
C:\WINDOWS\system32\dllcache\beep.sys	--a--c- 4224 bytes	[15:19 10/03/2011]	[12:00 05/08/2004] DA1F27D85E0D1525F6621372E7B685E9

-= EOF =-

juju666 · Answer

Aaaaaaaaah voilàààààààà :D

T'as un beep.sys tout beau tout frais tout propre :P

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

@+

gil009 · Answer

çi-joint le rapport :

https://pjjoint.malekal.com/files.php?id=c82892951f710

juju666 · Answer

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:64202 
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://ww12.cherche.us      
O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} - (OfferBox Search) - http://search.offerbox.com/fr/results/?s=b&c=1003204372&q={searchTerms}      
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-20] [feature_enable_ie_compression] -- svchost.exe    
O44 - LFC:[MD5.1B012D95997C9A47E2D2CCC9D072AB61] - 10/03/2011 - 15:33:26 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\rapport-WFR.txt   [420] 
O44 - LFC:[MD5.C738D742E4C8E7F7EDA00A081D8E0B16] - 10/03/2011 - 12:42:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\kypwcjef.txt   [228] 
O58 - SDL:[MD5.15C252DEDCF24163EA3963325BD198DE] - 29/03/2008 - 12:29:03 RSH-- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\7295417472.sys   [56] 
[MD5.A72F12109642CF32F877D25F6C9273FE] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\gilles\Application Data\kahut.reg   [15283] 
[MD5.46EC83BA8EC511DBDAC67EF3A9A45E50] [SRI] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\gilles\Local Settings\Application Data\ekevufokyx.dll   [14213] 
[MD5.A06D40E41B4C5EF56BE2DF358C056B52] [SRI] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\gilles\Local Settings\Application Data\xirumog.exe   [11877] 
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab     
[HKCU\Software\Boonty]     
O43 - CFD: 07/06/2008 - 10:40:48 ----D- C:\Program Files\Boonty  
O43 - CFD: 07/06/2008 - 10:40:56 ----D- C:\Program Files\BoontyGames     
O64 - Services: CurCS - (.not file.) - agnorkoc (agnorkoc)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AGNORKOC 



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .   

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".   

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message   

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)    

Ensuite installe le SP3 de windows xp :  http://www.microsoft.com/downloads/fr-fr/details.aspx?FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e

@+
 .::. Membre Contributeur Commentçamarche .::.

gil009 · Answer

çi-joint le rapport zhpfix :

Rapport de ZHPFix 1.12.3236 par Nicolas Coolman, Update du 05/01/2011
Fichier d'export Registre : 
Run by gilles at 10/03/2011 17:50:49
Windows XP Home Edition Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Documents and Settings\gilles\Local Settings\Application Data\xirumog.exe   [11877]  => Supprimé et mis en quarantaine

========== Module(s) mémoire ==========
C:\Documents and Settings\gilles\Local Settings\Application Data\ekevufokyx.dll   [14213]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O69 - SBI: SearchScopes [HKCU] {557C21FE-7274-410D-853E-9ED4471BF193} - (cherche.us) - http://ww12.cherche.us  => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {b41306c6-96d0-442a-bcc4-b0f621e82ce9} - (OfferBox Search) - http://search.offerbox.com/fr/results/?s=b&c=1003204372&q={searchTerms}  => Clé supprimée avec succès
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab  => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}]  => Clé supprimée avec succès
[HKCR\CLSID\{BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B}]  => Clé supprimée avec succès
HKCU\Software\Boonty  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - agnorkoc (agnorkoc)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AGNORKOC  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-20] [feature_enable_ie_compression] -- svchost.exe  => Valeur absente

========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:64202  => Donnée supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\Boonty  => Supprimé et mis en quarantaine
C:\Program Files\BoontyGames  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\rapport-wfr.txt  => Supprimé et mis en quarantaine
c:\windows\kypwcjef.txt  => Supprimé et mis en quarantaine
c:\windows\system32\7295417472.sys  => Supprimé et mis en quarantaine
C:\Documents and Settings\gilles\Application Data\kahut.reg   [15283]  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Processus mémoire
1 : Module(s) mémoire
7 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
2 : Dossier(s)
4 : Fichier(s)


End of the scan

juju666 · Answer

Nickel :]

Comment se porte ton pc?

gil009 · Answer

j'ai lancé sp3 ; y en a pour 30 mn encore ; je dois faire quoi avec ça quand ca sera téléchargé ?

juju666 · Answer

L'installer :)

Tu sais comment graver un fichier .iso ?

gil009 · Answer

avec néro ; je te dis quand c'est fini ; et encore merci à toi.

jlpjlp · Answer

slt 
c'est sûr que cela prend du temps quand on utilise une version de malwarebyte et ad remover datant depuis plus d'un an :) 

======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 ======= 
. 
Mis à jour par C_XX le 19/05/10 à 19:20 



bonne suite

gil009 · Answer

super remarque intelligente  jlpjlp......mais je me contenterai de celle de juju qui me semble plus pertinente ; bonne suite

juju666 · Answer

non jlpjlp a raison :)

voilà pourquoi offerbox n'était pas supprimé par ad-r...

on aurait peut être pu se passer d'un ZHPFix et de ComboFix

@+

jlpjlp · Answer

ce n'etait pas pour bléssé quelqu'un mais pour rappeler qu'il faut avoir les dérnières versions des logiciels sinon on risque de passer à côté d'infections ...

Probleme redirection (gomeo,....)

52 réponses

Discussions similaires

Newsletters