Sujet Précédent Sujet Suivant

Win32:HotBar-BE

Fermé
dari - 27 mars 2011 à 15:54
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 - 25 avril 2011 à 17:23
Bonjour,
Mon antivirus avast a détecté le virus Hotbar-Be et quand j'essaye de le mettre sous quarantaine avast me dit que le serveur de la zone de quarantaine n'est pas actif.
Je préfère ne pas le supprimer pour pas faire d'erreur...
Sachant que je ne suis pas un grand pro de l'informatique, quelqu'un pourrai me venir en aide?
Voilà ma config: Windows Vista, Firefox 4.0
Merci d'avance

21 réponses

  • 1
  • 2
Réponse 1 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
27 mars 2011 à 16:09
Bonjour

Télécharge Ad-Remover sur ton bureau:

http://www.teamxscript.org/adremoverTelechargement.html

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Scanner".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
3
Réponse 2 / 21
dari
27 mars 2011 à 16:33
Voici le rapport:

======= REPORT FROM AD-REMOVER 2.0.0.2,F | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Launched at 16:13:51 on 27/03/2011, Normal boot

Microsoft® Windows Vista(TM) Home Basic Service Pack 2 (X86)
schöffmann martina@SCHÖFFMANNMA-PC (Acer Aspire 5100)

============== SEARCH ==============



-- File opened: C:\Users\schöffmann martina\AppData\Roaming\Mozilla\FireFox\Profiles\oip7rwyr.default\Prefs.js --
Line found: user_pref("extensions.wrc.SearchRules.ask.com.style", ".WRCN {display:none} #yui-main .tsrc_vnru .ti...
Line found: user_pref("extensions.wrc.SearchRules.ask.com.url", "^hxxp(s)?\\:\\/\\/(.+\\.)?ask\\.com\\/.*");
Line found: user_pref("extensions.wrc.SearchRules.baidu.com.style", ".WRCN {display:none} .result .f .WRCN {disp...
Line found: user_pref("extensions.wrc.SearchRules.baidu.com.url", "^hxxp\\:\\/\\/www\\.baidu\\.com\\/.*");
-- File closed --


Key found: HKLM\Software\Classes\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924}
Key found: HKLM\Software\Conduit


============== ADDITIONNAL SCAN ==============

**** Mozilla Firefox Version [4.0 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - C:\Program Files\Mozilla Firefox 4.0 Beta 11\firefox.exe

-- C:\Users\schöffmann martina\AppData\Roaming\Mozilla\FireFox\Profiles\oip7rwyr.default --
Prefs.js - browser.startup.homepage, www.google.fr
Prefs.js - browser.startup.homepage_override.buildID, 20110318052756
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0

-- C:\Users\admin1\AppData\Roaming\Mozilla\FireFox\Profiles\fu1ezv9j.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110203141415
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0b11

========================================

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|SearchMigratedDefaultURL - hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (C:\Windows\system32\eDStoolbar.dll)
HKCU_Toolbar\WebBrowser|{855F3B16-6D32-4FE6-8A56-BBB695989046} (x)
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\Windows\system32\eDStoolbar.dll)
HKLM_Toolbar|{90222687-F593-4738-B738-FBEE9C7B26DF} (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll)
HKLM_Toolbar|{9421DD08-935F-4701-A9CA-22DF90AC4EA6} (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)
HKLM_ElevationPolicy\{387B9C3C-014A-4dc6-B7BA-86563C402E87} - C:\Program Files\ICQ6.5\ICQLRun.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
BHO\{1E8A6170-7264-4D0F-BEAE-D42A53123C75} - "?" (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll)
BHO\{9421DD08-935F-4701-A9CA-22DF90AC4EA6} - "Easy Photo Print" (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 File(s)
C:\Program Files\Ad-Remover\Backup: 1 File(s)

C:\Ad-Report-SCAN[1].txt - 27/03/2011 16:14:19 (3984 Byte(s))

End at: 16:16:16, 27/03/2011

============== E.O.F ==============
0
Réponse 3 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
27 mars 2011 à 16:40
Nettoyage:

/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
0
Réponse 4 / 21
dari
27 mars 2011 à 17:08
Et voici le deuxieme rapport:

======= REPORT FROM AD-REMOVER 2.0.0.2,F | ONLY XP/VISTA/7 =======

Updated by TeamXscript on 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
website: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 17:00:05 on 27/03/2011, Normal boot

Microsoft® Windows Vista(TM) Home Basic Service Pack 2 (X86)
schöffmann martina@SCHÖFFMANNMA-PC (Acer Aspire 5100)

============== ACTION(S) ==============



(!) -- Temporary files deleted.


-- File opened: C:\Users\schöffmann martina\AppData\Roaming\Mozilla\FireFox\Profiles\oip7rwyr.default\Prefs.js --
Line deleted: user_pref("extensions.wrc.SearchRules.ask.com.style", ".WRCN {display:none} #yui-main .tsrc_vnru .ti...
Line deleted: user_pref("extensions.wrc.SearchRules.ask.com.url", "^hxxp(s)?\\:\\/\\/(.+\\.)?ask\\.com\\/.*");
Line deleted: user_pref("extensions.wrc.SearchRules.baidu.com.style", ".WRCN {display:none} .result .f .WRCN {disp...
Line deleted: user_pref("extensions.wrc.SearchRules.baidu.com.url", "^hxxp\\:\\/\\/www\\.baidu\\.com\\/.*");
-- File closed --


Key deleted: HKLM\Software\Classes\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924}
Key deleted: HKLM\Software\Conduit


============== ADDITIONNAL SCAN ==============

**** Mozilla Firefox Version [4.0 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - C:\Program Files\Mozilla Firefox 4.0 Beta 11\firefox.exe

-- C:\Users\schöffmann martina\AppData\Roaming\Mozilla\FireFox\Profiles\oip7rwyr.default --
Prefs.js - browser.startup.homepage, www.google.fr
Prefs.js - browser.startup.homepage_override.buildID, 20110318052756
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0

-- C:\Users\admin1\AppData\Roaming\Mozilla\FireFox\Profiles\fu1ezv9j.default --
Prefs.js - browser.startup.homepage_override.buildID, 20110203141415
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0b11

========================================

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\ShellBrowser|{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} (C:\Windows\system32\eDStoolbar.dll)
HKCU_Toolbar\WebBrowser|{855F3B16-6D32-4FE6-8A56-BBB695989046} (x)
HKLM_Toolbar|{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} (C:\Windows\system32\eDStoolbar.dll)
HKLM_Toolbar|{90222687-F593-4738-B738-FBEE9C7B26DF} (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll)
HKLM_Toolbar|{9421DD08-935F-4701-A9CA-22DF90AC4EA6} (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)
HKLM_ElevationPolicy\{387B9C3C-014A-4dc6-B7BA-86563C402E87} - C:\Program Files\ICQ6.5\ICQLRun.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
BHO\{1E8A6170-7264-4D0F-BEAE-D42A53123C75} - "?" (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll)
BHO\{9421DD08-935F-4701-A9CA-22DF90AC4EA6} - "Easy Photo Print" (C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 File(s)
C:\Program Files\Ad-Remover\Backup: 17 File(s)

C:\Ad-Report-CLEAN[1].txt - 27/03/2011 17:00:24 (3856 Byte(s))
C:\Ad-Report-SCAN[1].txt - 27/03/2011 16:14:19 (4122 Byte(s))

End at: 17:03:42, 27/03/2011

============== E.O.F ==============
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
Modifié par benurrr le 27/03/2011 à 17:59
Salut :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

Télécharge ici :List_Kill'em

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

et enregistre le sur ton bureau

lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer

enregistre le sur ton bureau et lance l'installation

(entre temps poste "rapport.txt" avant la fin du scan apparu sur ton bureau

Laisse coché :

Executer List_Kill'em

une fois terminée , clic sur "terminer"

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% , relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

NE LES POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ces liens dans ta réponse.
Par Manque De Curiosité On Risque De Mourir Ignorant;Tu es libre de penser que tu es C..,
Mais C.. de penser que ­tu es libre...Merci a australe13
0
Réponse 6 / 21
dari
28 mars 2011 à 18:57
Je viens d'installer list_kill'em et je te poste le rapport et je vais procéder à la suite de ce que tu ma dit:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mis à jour le 24/03/2011 | 13.05 par g3n-h@ckm@n
Utilisateur : schöffmann martina (Administrateurs)
Ordinateur : SCHÖFFMANNMA-PC

Système d'exploitation : Windows Vista (TM) Home Basic (32 bits)
Internet Explorer : 8.0.6001.19019
Mozilla Firefox : 4.0 (fr)

Scan : 18:52:53 | 28/03/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\Userinit.exe, -> C:\Windows\system32\Userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKCR\exefile\..\..\command] : "%1" %*
[HKCR\comfile\..\..\command] : "%1" %*
[HKCR\scrfile\..\..\command] : "%1" /S
[HKCR\batfile\..\..\command] : "%1" %*
[HKCR\piffile\..\..\command] : "%1" %*

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

explorer.exe -> Processus stoppé


¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
[HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
28 mars 2011 à 19:48
salut

ton rapport n'est pas complet
0
Réponse 7 / 21
dari
28 mars 2011 à 19:30
Je n'ai pas très bien compris la partie que tu m'a expliqué sur le lien (désolé) et donc je t'ai mis les liens que j'ai vu je ne sais pas si tu arrivera à retrouver...
J'attend ta prochaine réponse pour effectuer un scan avec mon antivirus.
Merci encore pour ton aide!

file:///C:/Users/sch%C3%B6ffmann%20martina/Desktop/List%27em.txt
file:///C:/Users/sch%C3%B6ffmann%20martina/Desktop/More.txt
0
Réponse 8 / 21
dari
28 mars 2011 à 22:05
Désolé pour le rapport j'ai beau chercher dans la partition C: ca y est pas!
Je pourrai pas faire de manipulation avant mercredi par contre je pourrai jeter un coup d'oeil sur le forum demain.
0
Réponse 9 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
29 mars 2011 à 17:29
salut

normalement c'est sur le bureau qu'il se trouve sa fait rien

continue

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

choisis l'Option Clean

ton PC va redémarrer,

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta réponse
0
Réponse 10 / 21
dari
30 mars 2011 à 14:25
Bonjours Benurr
Voici le rapport:

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤

User : schöffmann martina (Administratoren)
Update on 20/03/2011 by g3n-h@ckm@n ::::: 19.40
Start at: 20:37:45 | 29/03/2011

AMD Turion(tm) 64 Mobile Technology MK-38
Microsoft® Windows Vista(TM) Home Basic (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.19019

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Disabled
AV : Norton Internet Security 2007 [ Enabled | (!) Outdated ]
FW : Norton Internet Security[ Enabled ]2007

C:\ -> Lokale Festplatte | 51,65 Go (5,18 Go free) [ACER] | NTFS
D:\ -> Lokale Festplatte | 51,36 Go (44,41 Go free) [DATA] | NTFS
E:\ -> CD | 7,56 Go (0 Mo free) [SPEED2] | UDF
G:\ -> Wechseldatenträger

Killed : PID 3944 'explorer.exe'
Killed : PID 3944 'explorer.exe'
Killed : PID 3944 'explorer.exe'


¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers

Mis en quarantaine : C:\Users\sch"ffmann martina\AppData\Local\d3d8caps.dat
Mis en quarantaine : C:\Users\sch"ffmann martina\AppData\Local\d3d9caps.dat
Mis en quarantaine : C:\Users\sch"ffmann martina\AppData\Local\GDIPFONTCACHEV1.DAT
Mis en quarantaine : C:\Windows\System32\bcmwl6.inf
Mis en quarantaine : C:\Windows\System32\Desktop_.ini

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

C:\Windows\System32\Drivers\etc\hosts
127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = http://www.google.com/
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
FirstRunDisabled = 1 (0x1)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio -> Start = 3
EapHost -> Start = 2
Wlansvc -> Start = 2
SharedAccess -> Start = 2
windefend -> Start = 2
wuauserv -> Start = 2
wscsvc -> Start = 2

¤¤¤¤¤¤¤¤¤¤ Winlogon

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell = 1 (0x1)
Shell = explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
VMapplet = rundll32 shell32,Control_RunDLL sysdm.cpl
System =
PowerdownAfterShutdown = 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

TDSS | svchost | Internet Explorer:
====================================


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: TOSHIBA_ rev.AH00 -> Harddisk0\DR0 -> \Device\Scsi\SI31121Port2Path0Target0Lun0

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll SCSIPORT.SYS SI3112.sys
C:\Windows\system32\DRIVERS\SI3112.sys Silicon Image, Inc SiI 3x12 SATALink controller
1 ntkrnlpa!IofCallDriver[0x8267F912] -> \Device\Harddisk0\DR0[0x8429EAC8]
3 CLASSPNP[0x869BF8B3] -> ntkrnlpa!IofCallDriver[0x8267F912] -> [0x83D87878]
5 acpi[0x862106BC] -> ntkrnlpa!IofCallDriver[0x8267F912] -> \Device\Scsi\SI31121Port2Path0Target0Lun0[0x83F0E030]
kernel: MBR read successfully
user & kernel MBR OK


Fin du Nettoyage : 20:42:10




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 11 / 21
dari
30 mars 2011 à 15:26
(Re)salut
C'était pour te demander si quand ce problème sera résolu (je l'espère) tu pourras m'aider à résoudre d'autres problèmes énormes de mon Ordi (ecran bleu,etc): tu doit déjà te demander ce que j'ai comme machine méga-bug... lol
En tout cas merci beaucoup pour ton aide jusqu'ici.
Merci pour tout ce temps que tu passe pour mon(es) problèmes.
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
30 mars 2011 à 17:21
pas de soucie chaque chose a la fois
0
dari
Modifié par dari le 30/03/2011 à 17:28
au fait c'est bon? il n'y a plus de virus et sans sequelles? (je parle de hotbar)
0
Réponse 12 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
30 mars 2011 à 17:43
On va faire un diagnostic du PC :

X Télécharge ZHPDiag sur ton bureau :

ftp://zebulon.fr/ZHPDiag2.exe

X Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

(1) Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic »)
(2) Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
(3) Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
0
Réponse 13 / 21
dari
30 mars 2011 à 18:35
Voici le lien:

http://cjoint.com/?3dEsIaDpnE8
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
30 mars 2011 à 20:17
pas bon ton lien
0
dari
Modifié par dari le 30/03/2011 à 21:21
j'ai crée un nv lien qui marche (je l'ai essayé) : http://cjoint.com/?1dEvqBeZyBh
A+
0
Réponse 14 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
30 mars 2011 à 22:41
Télécharge UsbFix de C_XX & Chiquitine29

http://www.teamxscript.org/usbfixTelechargement.html


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

* Double clic sur "UsbFix.exe" présent sur ton bureau ( clic droit "exécuter en tant qu'administrateur" pour Vista & 7 )

* Choisis l'option F pour français et tape sur [entrée] .

* Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

* Laisse travailler l'outil.

* Ensuite poste le rapport UsbFix.txt qui apparaitra.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
0
Réponse 15 / 21
dari
Modifié par dari le 31/03/2011 à 19:38
Salut benurr
voici les deux rapports (j'ai pas assez de ports USB pour tout brancher)
il sont sur http://cjoint.com/ (j'ai pas réussi ici)
voici les deux adresses

file:///C:/Users/sch%C3%B6ffmann%20martina/Desktop/rapports/UsbFix%202.txt
http://cjoint.com/data1/1dFtDQuQQOV.htm
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
31 mars 2011 à 19:31
et le lien stp
0
dari
31 mars 2011 à 19:37
je m'y suis mal pris (j'ai modifié plusieurs fois) voici les liens:

file:///C:/Users/sch%C3%B6ffmann%20martina/Desktop/rapports/UsbFix%202.txt
http://cjoint.com/data1/1dFtDQuQQOV.htm
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
31 mars 2011 à 19:44
inaccessible

le lien devrai avoir cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
0
dari
31 mars 2011 à 19:49
c tres bizarre parce que quand je le tape dans la barre d'adresse je le trouve.
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
31 mars 2011 à 19:55
oui moi aussi mais logiquement j'aurai pu y accéder directement en cliquant sur le lien
0
Réponse 16 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
31 mars 2011 à 19:57
Télécharge DelFix sur ton bureau.

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

3.1 - Option Recherche

Téléchargez DelFix sur votre bureau.
Lancez le, tapez 1 et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSearch.txt

-------------------------

3.2 - Option Suppression

Téléchargez DelFix sur votre bureau
Lancez le, tapez 2 et validez en appuyant sur [Entrée]
Patientez quelques secondes puis copiez/collez le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt


--------------Après------------------

tu va télécharger Ccleaner http://dl.commentcamarche.net/...

ouvre "Ccleaner" vas dans l'onglet "Option" puis "Avancé" puis décoches "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures."

. Puis vas dans l'onglet "Nettoyeur" fais "Analyse" puis "Lancer le nettoyage".
Puis vas dans l'onglet "Registre" puis fait "Chercher des erreurs" puis "Réparer les erreurs sélectionnée"
. Tu refais tous ca 4-5 fois (le nettoyage et le registre).

Puis reste dans "Ccleaner" puis va dans "Option" puis "Propriété" puis coches "Nettoyer automatiquement l'ordinateur au démarrage".

içi mode d'emploi pour ccleaner

https://www.malekal.com/tutoriel-ccleaner/
0
dari
31 mars 2011 à 20:28
Salut
voici le 1er rapport:

# DelFix v7.6 - Rapport créé le 31/03/2011 à 20:26
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [Version 6.0.6002] Service Pack 2
# Nom d'utilisateur : schöffmann martina - SCHÖFFMANNMA-PC (Administrateur)
# Exécuté depuis : C:\Users\schöffmann martina\Downloads\DelFix.exe
# Option [Recherche]


~~~~~~ Dossier(s) ~~~~~~

Présent : C:\USBFix
Présent : C:\Kill'em
Présent : C:\Program Files\Ad-Remover
Présent : C:\Program Files\List_Kill'em
Présent : C:\Program Files\ZHPDiag
Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Présent : C:\List'em.txt
Présent : C:\UsbFix.txt
Présent : C:\UsbFix_Upload_Me_SCHÖFFMANNMA-PC.zip
Présent : C:\rapport.txt
Présent : C:\rkill.log
Présent : C:\Ad-Report-CLEAN[1].txt
Présent : C:\Ad-Report-SCAN[1].txt
Présent : C:\PhysicalDisk0_MBR.bin
Présent : C:\Windows\System32\404Fix.exe
Présent : C:\Windows\System32\o4Patch.exe
Présent : C:\Windows\System32\VACFix.exe
Présent : C:\Windows\System32\VCCLSID.exe
Présent : C:\Windows\System32\IEDFix.exe
Présent : C:\Windows\System32\IEDFix.C.exe
Présent : C:\Windows\System32\Agent.OMZ.Fix.exe
Présent : C:\Windows\System32\WS2Fix.exe
Présent : C:\Windows\System32\Process.exe
Présent : C:\Windows\System32\swreg.exe
Présent : C:\Windows\System32\swsc.exe
Présent : C:\Windows\System32\swxcacls.exe
Présent : C:\Windows\System32\SrchSTS.exe
Présent : C:\Windows\System32\tmp.reg
Présent : C:\Windows\System32\tmp.txt
Présent : C:\Windows\System32\dumphive.exe
Présent : C:\Users\schöffmann martina\Desktop\UsbFix.exe
Présent : C:\Users\schöffmann martina\Desktop\AD-R.lnk
Présent : C:\Users\Public\Desktop\ZHPDiag.lnk
Présent : C:\Users\Public\Desktop\ZHPFix.lnk
Présent : C:\Users\Public\Desktop\MBRCheck.lnk
Présent : C:\Users\schöffmann martina\Downloads\List_Killem_Install.exe
Présent : C:\Users\schöffmann martina\Downloads\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Présente : HKCU\SOFTWARE\Ad-Remover
Clé Présente : HKCU\SOFTWARE\USBFix
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> BitDefender Online Scanner ... Installé

########## EOF - "C:\DelFixSearch.txt" - [2522 octets] ##########
0
dari
31 mars 2011 à 20:31
Et voici le 2eme:

# DelFix v7.6 - Rapport créé le 31/03/2011 à 20:28
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [Version 6.0.6002] Service Pack 2
# Nom d'utilisateur : schöffmann martina - SCHÖFFMANNMA-PC (Administrateur)
# Exécuté depuis : C:\Users\schöffmann martina\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\USBFix
Supprimé : C:\Kill'em
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\List_Kill'em
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\List'em.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_SCHÖFFMANNMA-PC.zip
Supprimé : C:\rapport.txt
Supprimé : C:\rkill.log
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Windows\System32\404Fix.exe
Supprimé : C:\Windows\System32\o4Patch.exe
Supprimé : C:\Windows\System32\VACFix.exe
Supprimé : C:\Windows\System32\VCCLSID.exe
Supprimé : C:\Windows\System32\IEDFix.exe
Supprimé : C:\Windows\System32\IEDFix.C.exe
Supprimé : C:\Windows\System32\Agent.OMZ.Fix.exe
Supprimé : C:\Windows\System32\WS2Fix.exe
Supprimé : C:\Windows\System32\Process.exe
Supprimé : C:\Windows\System32\swreg.exe
Supprimé : C:\Windows\System32\swsc.exe
Supprimé : C:\Windows\System32\swxcacls.exe
Supprimé : C:\Windows\System32\SrchSTS.exe
Supprimé : C:\Windows\System32\tmp.reg
Supprimé : C:\Windows\System32\tmp.txt
Supprimé : C:\Windows\System32\dumphive.exe
Supprimé : C:\Users\schöffmann martina\Desktop\UsbFix.exe
Supprimé : C:\Users\schöffmann martina\Desktop\AD-R.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\schöffmann martina\Downloads\List_Killem_Install.exe
Supprimé : C:\Users\schöffmann martina\Downloads\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\SOFTWARE\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autre ~~~~~~

-> BitDefender Online Scanner ... Désinstallé avec succès
-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2599 octets] ##########
0
Réponse 17 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
31 mars 2011 à 20:50
ton antivirus

AVAST ou Symantec
0
dari
31 mars 2011 à 20:57
avast mais je ne sait pas grand chose sur symantec je pense qu'il faudrai le désinstaller et garder avast. je pense pas qu'il y risque de conflit, j'ai desactivé le service (msconfig)
0
dari
31 mars 2011 à 21:41
bonsoir benurr
a mon grand desespoir, hotbar se trouve toujours dans mon ordi. Je pense que l'on peux le supprimer autrement. Après le scan, le resultat ma dit que le fichier infecté se trouve dans
C:\users\schöffmann.........VLCSetup.exe
peut être en le supprimant...bien sur ce n'est qu'une hypothèse mais en tout cas j'ai déjà réussi a supprimer un autre virus de ce type de cette manière...
sur ce bon soir à toi.
0
Réponse 18 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
1 avril 2011 à 06:54
commence par sa

https://www.commentcamarche.net/faq/3151-desinstaller-norton-symantec
0
dari
2 avril 2011 à 10:25
salut
info: je suis pas la tout le we donc j'essairai lundi soir...
a biebtot
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
2 avril 2011 à 20:07
ok bon week
0
dari
5 avril 2011 à 21:36
Salut benurr
je sais pas si c'est grave de garder norton, du moments que les services sont désactivés il n'y a pas de risques, non? en plus il utilise très peu de place (12,2 MB)
En tout cas j'ai desactivé tous les services de norton dans msconfig.
Pour ton lien j'ai pas très bien compris la partie avec le task-manager, comment je fait pour tuer le processus?voila c'est tout,
sur-ce bonsoir a toi.
0
Réponse 19 / 21
darius
13 avril 2011 à 16:41
Bonjours benurr,
Bon, j'ai essayé de désinstaller symantec mais je n'ai pas réussi à faire comme sur ton lien...désolé mais en tout cas il n'est plus dans mes programmes mais les services persistent voilà c'est tout.
A+
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
13 avril 2011 à 16:58
salut

regarde dans panneau de configuration de la tu double clic sur Outils d'administration

dans la fenêtre qui apparait va sur Services et double clic et dans la nouvelle fenêtre regarde si ta norton ou symantec

si tu trouve fait un clic droit et propriété et la tu le met en désactiver

après avoir fait sa redémarre

tu lance une recherche avec les mot cle norton et suprime se qu'il trouve et fait de même avec le mot symantec
0
darius
13 avril 2011 à 19:28
salut
Il ne reste plus que live update notice que je ne trouve pas dans les programmes à désinstaller(j'ai aussi essayé avec ccleaner mais c'est pareil.Voila.
A+
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
14 avril 2011 à 18:47
ok

ta encore des écran bleu ?
0
darius
14 avril 2011 à 20:01
Salut
Je ne peut pas encore te dire (ça arrive pas tout le temps surtout lors des redémarrages) donc je tacherai de te le dire si ca se repasse. Je te donne toute la liste des problèmes que j'ai trouvé et d'ailleurs hotbar est tjr là je pense qu'il est la source de l'extreme lenteur de mon ordi.
J'espère que tu pourras me répondre et que tu n'auras pas eut de crise cardiaque à la vu de tous ces pb:
-eNMTray ne fonctionne plus= lorsqu'il ne redemarre pas correctement
-ecran qui devient rose= problème qui survient après un déplacement
-ecran bleu demarrage= pb qui survient après redemarrage
-Wifi inpossible à installer= arrive toujours
-Très lent (écran se fige,etc)= Processeur lent ou problème hotbar.be
-ne redemarre pas correctement= après un déplacement
0
Réponse 20 / 21
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
15 avril 2011 à 06:48
salut

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Note importante :tu est sous Vista

la désactivation du Contrôle des comptes utilisateurs est obligatoire

Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac­er-l-uac

pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )

-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)

::Si combofix détecte quelque chose et de demande a redémarrer tu accepte
0

Discussions similaires

Detection PUA: win32 Installcore
Nat -
bazfile -

13 réponses
infecté par HackTool:Win32/AutoKMS
fredo1968 -
fredo1968 -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
Que fait le virus LPI Win32 Pup-Gen
Tristan Chrome -
Tristan Chrome -

2 réponses
win32 bogent [susp]
hidalgo -
papajohn -

36 réponses