Votre question

ordi infesté, besoin d'aide !!!

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Mars 2012 17:45:25

bonjour,
j'ai apparement chopé un virus. en faisant des recherches j'ai peut-être trouvé son nom : "internet security" mais le problème c'est que je ne sais absolument pas comment m'en débarrasser. ce virus se met en route dès le démarrage de l'ordi et fait comme si il faisait un scan . il me sort une liste d'infections et me demande de cliquer sur un lien pour m'en débarrasser en achetant un logiciel ...! quelqu'un pourrait-il m'aider SVP ??? merci beaucoup d'avance.

Autres pages sur : ordi infeste besoin aide

15 Mars 2012 18:00:28

si ça peut vous aider voici le rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:59:36, on 15/03/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\wuauclt.exe
c:\PROGRA~1\MI239C~1\msseces.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Clara\Local Settings\Temporary Internet Files\Content.IE5\6REQM0UU\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wuuta.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\RazaWebHook32.dll
O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [MSC] "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] C:\PROGRA~1\FREEDO~1\fdm.exe -autorun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NokiaSuite.exe] C:\Program Files\Nokia\Nokia Suite\NokiaSuite.exe -tray
O4 - HKCU\..\Run: [Internet Security] C:\Documents and Settings\All Users\Application Data\isecurity.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\RazaWebHook32.dll/3000
O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Co...
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://www.ma-config.com/plugins/MaConfig_4_6_0_1.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NMSAccess - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Service SNMP (SNMP) - Unknown owner - C:\WINDOWS\System32\snmp.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe

--
End of file - 9608 bytes
Contenus similaires
15 Mars 2012 18:32:12

heu je suis vraiment pas douée je ne trouve pas où il faut poster le rapport...
j'ai fait avec rogue killer, j'ai un rapport mais là aussi je ne sais pas quoi en faire... désolée je suis vraiment une quiche !
a c 295 8 Sécurité
15 Mars 2012 18:56:21

Poste le rapport de RogueKiller ici pour que j'y jette un coup d'oeil.
15 Mars 2012 18:58:53

merci de répondre! voici le rapport :
RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Clara [Droits d'admin]
Mode: Recherche -- Date: 15/03/2012 18:23:32

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] HijackThis[1].exe -- C:\Documents and Settings\Clara\Local Settings\Temporary Internet Files\Content.IE5\6REQM0UU\HijackThis[1].exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Internet Security (C:\Documents and Settings\All Users\Application Data\isecurity.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-854245398-1214440339-1801674531-1004[...]\Run : Internet Security (C:\Documents and Settings\All Users\Application Data\isecurity.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3500418AS +++++
--- User ---
[MBR] 95e71c0ae4413ee9f2f0daa978e926b4
[BSP] d8f9edd488f965e1fb95360032601d8f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 448725f77356b5594d6e316d8b75bca9
[BSP] 1b602b6a9df1b8a041c340ed5deee660 : MaxSS MBR Code!
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo

Termine : << RKreport[1].txt >>
RKreport[1].txt



a c 295 8 Sécurité
15 Mars 2012 19:10:28

RogueKiller a trouvé le rogue, utilise l'option "Suppression" et poste le rapport.

Après, utilise Malwarebytes' Anti-Malware comme indiqué dans la procédure, poste le rapport ici également.
15 Mars 2012 20:07:52

Le scan est long je pense que je ne pourrai l'envoyer que demain...merci
15 Mars 2012 20:13:51

Le scan vient de finir donc voici les rapports:

Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.15.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Clara :: CLARA-10D03C4E8 [administrateur]

Protection: Désactivé

15/03/2012 19:21:23
mbam-log-2012-03-15 (20-12-26).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 266605
Temps écoulé: 50 minute(s), 32 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Adware.Dropper) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Documents and Settings\Clara\Local Settings\Temp\8.tmp (Trojan.FakeAlert) -> Aucune action effectuée.
C:\Documents and Settings\Clara\Local Settings\Temp\Setup.exe (Adware.Dropper) -> Aucune action effectuée.
C:\Documents and Settings\Clara\Local Settings\Temp\mor.exe (Trojan.FakeAlert) -> Aucune action effectuée.
C:\Documents and Settings\Clara\Local Settings\Temp\tool.exe (Adware.Dropper) -> Aucune action effectuée.

(fin)


RogueKiller V7.3.1 [10/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Clara [Droits d'admin]
Mode: Suppression -- Date: 15/03/2012 18:24:04

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] HijackThis[1].exe -- C:\Documents and Settings\Clara\Local Settings\Temporary Internet Files\Content.IE5\6REQM0UU\HijackThis[1].exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 2 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Internet Security (C:\Documents and Settings\All Users\Application Data\isecurity.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3500418AS +++++
--- User ---
[MBR] 95e71c0ae4413ee9f2f0daa978e926b4
[BSP] d8f9edd488f965e1fb95360032601d8f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 448725f77356b5594d6e316d8b75bca9
[BSP] 1b602b6a9df1b8a041c340ed5deee660 : MaxSS MBR Code!
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476929 Mo

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt



Merci beaucoup
a c 295 8 Sécurité
15 Mars 2012 20:26:07

Citation :
Aucune action effectuée.

--> Tu as supprimé les infections trouvées par Malwarebytes' Anti-Malware ?

Comment va le PC ?
15 Mars 2012 20:28:33

non je n'ai encore rien fait
a c 295 8 Sécurité
15 Mars 2012 20:38:54

Est-ce que Malwarebytes' Anti-Malware te propose de "Supprimer la sélection" ?
15 Mars 2012 20:40:51

je l'ai ai supprimé et l'ordi a redémarré. internet security ne s'est pas déclenché
a c 295 8 Sécurité
15 Mars 2012 21:13:58

  • Relance Malwarebytes Anti-Malware, va dans Quarantaine et supprime tout.

    Le rogue est supprimé, ton PC fonctionne correctement ?

    HijackThis n'est plus assez complet, c'est pourquoi je te propose de faire ceci :

  • Télécharge ZHPDiag (de Nicolas Coolman).
  • Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau ").
  • Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
    (Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)
  • Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.
  • Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.
  • Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long.
    15 Mars 2012 21:59:26

    ok je finirai tout ça demain matin je te remercie pour ton aide
    16 Mars 2012 17:48:16

    # AdwCleaner v1.501 - Rapport créé le 16/03/2012 à 17:45:23
    # Mis à jour le 04/03/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Clara - CLARA-10D03C4E8
    # Exécuté depuis : C:\Documents and Settings\Clara\Local Settings\Temporary Internet Files\Content.IE5\DOA7JCZR\adwcleaner[1].exe
    # Option [Recherche]


    ***** [Services] *****


    ***** [Fichiers / Dossiers] *****

    Dossier Présent : C:\Documents and Settings\All Users\Application Data\Iminent
    Dossier Présent : C:\Documents and Settings\Clara\Application Data\Nosibay

    ***** [H. Navipromo] *****


    ***** [Registre] *****

    Clé Présente : HKCU\Software\Iminent
    Clé Présente : HKCU\Software\Nosibay
    Clé Présente : HKCU\Software\SweetIm
    Clé Présente : HKLM\SOFTWARE\Conduit
    Clé Présente : HKLM\SOFTWARE\Iminent
    Clé Présente : HKLM\SOFTWARE\Software
    Clé Présente : HKLM\SOFTWARE\SweetIM
    Clé Présente : HKLM\SOFTWARE\Canneverbe Limited\OpenCandy
    Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
    Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
    Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}
    Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}
    Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
    Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
    Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
    Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}
    Clé Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08}
    Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [6023 octets] - [16/03/2012 17:45:23]

    ########## EOF - C:\AdwCleaner[R1].txt - [6151 octets] ##########
    a c 295 8 Sécurité
    16 Mars 2012 18:12:55

    Ok, relance AdwCleaner, choisis l'option "Suppression" et poste le rapport.

    Ensuite, poste un nouveau rapport ZHPDiag.

    Désolé pour toutes les manip' mais c'est pour supprimer les saletés que je vois dans les rapports.
    16 Mars 2012 19:09:50

    J'ai relancé AdwCleaner avec suppression mais au redémarrage il y a eu un raté, le rapport est apparu mais l'ordi s'est totalement figé et a redémarré. Du coup la deuxième fois j'ai pas eu le rapport.Je le relance?
    16 Mars 2012 22:17:48

    Hors sujet: @Destrio5: je ne vois pas de message supprimé ?
    a c 295 8 Sécurité
    17 Mars 2012 12:07:22

    Merci OmaR d'avoir regardé (je ne sais pas ce qui s'est passé).

    Pour récupérer le rapport d'AdwCleaner, regarde dans ton disque dur C, tu devrais avoir un fichier AdwCleaner[S1].txt.
    17 Mars 2012 14:09:44

    J'ai trouvé merci

    # AdwCleaner v1.501 - Rapport créé le 16/03/2012 à 18:16:56
    # Mis à jour le 04/03/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Clara - CLARA-10D03C4E8
    # Exécuté depuis : C:\Documents and Settings\Clara\Local Settings\Temporary Internet Files\Content.IE5\DOA7JCZR\adwcleaner[1].exe
    # Option [Suppression]

    a c 295 8 Sécurité
    17 Mars 2012 14:51:04

    Sinon tu peux refaire une recherche avec AdwCleaner et poster le rapport, je verrais bien s'il détecte encore quelque chose.
    21 Mars 2012 10:29:55

    Bonjour,
    Je suis désolée de ne pas avoir répondu plus tot mais j'ai eu beaucoup de souci avec ma neufbox ça ne remarche correctement que depuis hier soir. c'est pour ça que je n'ai pas pu t'envoyer le fichier. dzl
    a c 295 8 Sécurité
    21 Mars 2012 18:20:00

    Pas de problème.

    Citation :
    Sinon tu peux refaire une recherche avec AdwCleaner et poster le rapport, je verrais bien s'il détecte encore quelque chose.
    21 Mars 2012 20:24:41

    ok, voilà le dernier rapport:

    # AdwCleaner v1.502 - Rapport créé le 21/03/2012 à 10:23:16
    # Mis à jour le 17/03/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Clara - CLARA-10D03C4E8
    # Exécuté depuis : C:\Documents and Settings\Clara\Bureau\adwcleaner.exe
    # Option [Recherche]


    ***** [Services] *****


    ***** [Fichiers / Dossiers] *****


    ***** [H. Navipromo] *****


    ***** [Registre] *****


    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R2].txt - [971 octets] - [17/03/2012 11:34:09]
    AdwCleaner[R3].txt - [791 octets] - [21/03/2012 10:22:45]
    AdwCleaner[R4].txt - [723 octets] - [21/03/2012 10:23:16]

    ########## EOF - C:\AdwCleaner[R4].txt - [850 octets] ##########
    a c 295 8 Sécurité
    21 Mars 2012 21:22:09

    Ok, AdwCleaner a fait son travail, relance-le et choisis "Désinstallation".

    Je vais regarder le rapport ZHPDiag.
    3 Avril 2012 11:14:45

    Bonjour,
    Je voulais juste dire que j'ai été particulièrement occupée depuis la dernière fois et que du coup j'ai complétement oublié de te répondre. Je suis désolée ça ne ne fait pas.
    a c 295 8 Sécurité
    3 Avril 2012 15:06:54

    Ce n'est pas grave.

    • Copie tout le texte présent dans le cadre ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").
      SysRestore
      R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.wuuta.com
      O4 - HKCU\..\Run: [Bubble Dock] C:\Documents and Settings\Clara\Application Data\Nosibay\Bubble Dock\LBubble Dock.exe (.not file.)
      O4 - HKUS\S-1-5-21-854245398-1214440339-1801674531-1004\..\Run: [Bubble Dock] C:\Documents and Settings\Clara\Application Data\Nosibay\Bubble Dock\LBubble Dock.exe (.not file.)
      O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
      O41 - Driver: (bqvlkamm) . (. - .) - C:\WINDOWS\system32\drivers\bqvlkamm.sys (.not file.)
      O41 - Driver: (srjvqftl) . (. - .) - C:\WINDOWS\system32\drivers\srjvqftl.sys (.not file.)
      O41 - Driver: (vcuekabk) . (. - .) - C:\WINDOWS\system32\drivers\vcuekabk.sys (.not file.)
      O41 - Driver: (vutyikgi) . (. - .) - C:\WINDOWS\system32\drivers\vutyikgi.sys (.not file.)
      O41 - Driver: (xmkpshgf) . (. - .) - C:\WINDOWS\system32\drivers\xmkpshgf.sys (.not file.)
      O43 - CFD: 18/04/2011 - 15:12:28 - [0] ----D- C:\Program Files\iWin.com
      [HKCU\Software\246702A87E4B2D395C135738AC75DBAE]
      [HKCU\Software\PopCap]
      [HKCU\Software\iWinArcade]
      [HKLM\Software\iWinArcade]
      O43 - CFD: 15/03/2012 - 19:19:12 - [0] ----D- C:\Program Files\Nosibay
      O47 - AAKE:Key Export SP - "C:\Documents and Settings\Clara\Local Settings\Temporary Internet Files\Content.IE5\0I6J0X9O\SweetImSetup[1].exe" [Enabled] .(...) -- C:\Documents and Settings\Clara\Local Settings\Temporary Internet Files\Content.IE5\0I6J0X9O
      [HKLM\Software\Classes\TypeLib\{495874fe-4a82-4ad1-9476-0b957e0b95eb}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8ca5ed52-f3fb-4414-a105-2e3491156990}]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
      [HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}]
      EmptyFlash
      EmptyTemp

    • Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
      (Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
    • Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).
    • Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    • Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
    • Une fois terminé, copie-colle le rapport dans ton prochain message.
    3 Avril 2012 16:14:50

    Rapport de ZHPFix 1.12.3381 par Nicolas Coolman, Update du 08/02/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-03-04-2012-16-11-51.txt
    Run by Clara at 03/04/2012 16:11:51
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...
    Web site : http://nicolascoolman.skyrock.com/

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: Menu Contextuel: Rechercher sur le Web
    SUPPRIME Driver Key: bqvlkamm
    SUPPRIME Driver Key: srjvqftl
    SUPPRIME Driver Key: vcuekabk
    SUPPRIME Driver Key: vutyikgi
    SUPPRIME Driver Key: xmkpshgf
    SUPPRIME Key: HKCU\Software\246702A87E4B2D395C135738AC75DBAE
    SUPPRIME Key: HKCU\Software\PopCap
    SUPPRIME Key: HKCU\Software\iWinArcade
    SUPPRIME Key: HKLM\Software\iWinArcade
    SUPPRIME Key: HKLM\Software\Classes\TypeLib\{495874fe-4a82-4ad1-9476-0b957e0b95eb}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ca5ed52-f3fb-4414-a105-2e3491156990}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8ca5ed52-f3fb-4414-a105-2e3491156990}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
    SUPPRIME Key: HKLM\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: Bubble Dock
    ABSENT RunValue: Bubble Dock
    SUPPRIME AAKE KeyValue: C:\Documents and Settings\Clara\Local Settings\Temporary Internet Files\Content.IE5\0I6J0X9O\SweetImSetup[1].exe

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Program Files\iWin.com
    SUPPRIME Folder: C:\Program Files\Nosibay
    SUPPRIME Flash Cookies: 4
    SUPPRIME Temporaires Windows: : 211

    ========== Fichier(s) ==========
    ABSENT File: c:\documents and settings\clara\application data\nosibay\bubble dock\lbubble dock.exe
    ABSENT File: c:\program files\sweetim\toolbars\internet explorer\resources\menuext.html
    ABSENT File: c:\documents and settings\clara\local settings\temporary internet files\content.ie5\0i6j0x9o
    SUPPRIME Flash Cookies: 4
    SUPPRIME Temporaires Windows: : 996

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès


    ========== Récapitulatif ==========
    15 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    4 : Dossier(s)
    5 : Fichier(s)
    1 : Restauration Système


    End of clean in 00mn 56s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 03/04/2012 16:11:51 [2576]

    a c 295 8 Sécurité
    3 Avril 2012 17:04:30

    Avast est installé ?
    3 Avril 2012 17:35:56

    Non il n'et pas installé
    a c 295 8 Sécurité
    3 Avril 2012 18:14:11

    Tu n'as pas installé d'antivirus ?
    3 Avril 2012 18:24:52

    j'avais avast mais la dernière fois que j'ai fait changer des pièces de mon ordi ils me l'ont enlevé et m'ont dit de ne pas le remettre parce-qu'il causait des problèmes et que celui de microsoft essentiel suffisait pour l'usage que j'ai de mon ordi...
    3 Avril 2012 19:33:10

    c'est fait mais là en redemarrant l'ordi mon scan s'est déclanché et a trouvé 2 menaces trojan : trojan:Win32/sirefef.AC et trojan:Win32/sirefef.AH
    a c 295 8 Sécurité
    3 Avril 2012 19:37:49

    Tu as les emplacements et noms des fichiers détectés ?
    3 Avril 2012 19:46:59

    non quand il nettoie c'est marqué introuvable
    a c 295 8 Sécurité
    3 Avril 2012 20:12:53

    Normalement, c'est marqué, regarde cette image :

    3 Avril 2012 20:37:21

    containerfile:C:/Windows\system32\s125mdfl.dll
    file:C:/Windows\system32\s125mdfl.dll->EWS->1.cod
    service:{d31a0762-Oceb-444e-acff-b049a1f6fe91}
    containerfile:C:/Windows\system32\LUsbFilt.dll
    file:C:/Windows\system32\LUsbFilt.dll->EWS->1.cod
    service:p dlnafac
    containerfile:C:/Windows\system32\bwcsrv.dll
    containerfile:C:/Windows\system32\ctxcpuusync.dll
    containerfile:C:/Windows\system32\bwcsrv.dll->EWS->1.cod
    containerfile:C:/Windows\system32\ctxcpuusync.dll->EWS->1.cod
    service:msi_wlan_service
    service:rimvserport
    containerfile:C:/Windows\system32\clcapsvc.dll
    file:C:/Windows\system32\clcapsvc.dll->EWS->1.cod
    service:ktp
    containerfile:C:/Windows\system32\LPCFilter.dll
    file:C:/Windows\system32\LPCFilter.dll->EWS->1.cod
    service:Nsynas32
    a c 295 8 Sécurité
    3 Avril 2012 20:47:33

    Ton PC est plus infecté que je ne le pensais.

    Je te propose ComboFix mais il y a des risques que le PC plante.

      /!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

    • Télécharge ComboFix (sUBs) sur ton Bureau.

    • Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.

      Il se peut que Combofix ait besoin de se connecter à Internet pour trouver les mises à jour, donc il faut l'autoriser si ton parefeu te le demande.

    • Réponds Oui au message d'avertissement pour que ComboFix commence l'analyse de ton PC.

    • Il va te demander d'installer la console de récupération : accepte.

    • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.


  • Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
    4 Avril 2012 14:19:30

    Bonjour,
    j'ai lancé combofix, ça démarre bien mais après que j'ai accepté l'installation de la console de récupération rien ne s'est passé. j'ai attendu pensant que ça pouvait etre long mais y'a rien eu de plus.
    9 Avril 2012 20:41:30

    salut, j'avais posté le rapport y'a quelques jours mais je m'apperçois maintenant qu' il ne s'est pas affiché. je viens de réessayé mais je peux pas le poster ici. où est-ce que je peux le mettre d'autre?
    a b 8 Sécurité
    9 Avril 2012 21:05:57

    Il est peut être trop long pour le forum, tu peux l'héberger sur le site ci-dessous et donner le lien :
    http://pjjoint.malekal.com/

    Bonne continuation :) 
    9 Avril 2012 21:30:46

    ok merci
    a c 295 8 Sécurité
    10 Avril 2012 01:44:47

    Il a trouvé l'infection Sirefef, je pense qu'il a réussi à la supprimer.

    L'antivirus de Microsoft la détecte encore ?

    Ton PC fonctionne mieux depuis l'utilisation de yorkyt ?

    Tu peux retélécharger ComboFix et retenter de le lancer.
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS