Votre question

Virus Mabezat !

Tags :
  • Mabezat
  • Tazebama
  • pup
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Mai 2012 16:29:19

Bonjour, je suis infecté par le virus Mabezat( ou Tazebama), alors je viens de faire une analyse complete avec MBAM (malwarebytes' Anti-Malware), mais je ne sais pas si l'infection a disparu, pour cela , je vais poster le rapport MBAM pour celui qui veut bien m'aider. Merci .

Rapport MBAM :

Bonjour, je suis infecté par le virus Mabezat( ou Tazebama), alors je viens de faire une analyse complete avec MBAM (malwarebytes' Anti-Malware), mais je ne sais pas si l'infection a disparu, pour cela , je vais poster le rapport MBAM pour celui qui veut bien m'aider. Merci .
Rapport MBAM :
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.05.30.04
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
Hamza :: MALEK [administrateur]
30/05/2012 14:19:00
mbam-log-2012-05-30 (14-19-00).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 244918
Temps écoulé: 38 minute(s), 22 seconde(s)
Processus mémoire détecté(s): 2
C:\Documents and Settings\Hamza\makqihvvcb.exe (Trojan.Agent) -> 568 -> Suppression au redémarrage.
C:\Documents and Settings\Hamza\e2uqdzc154.exe (Trojan.Agent) -> 608 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 1
C:\WINDOWS\system32\msicdq32.dll (Trojan.Agent) -> Suppression au redémarrage.
Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Google\chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki (PUP.Funmoods) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|makqihvvcb (Trojan.Agent) -> Données: C:\Documents and Settings\Hamza\makqihvvcb.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|e2uqdzc154 (Trojan.Agent) -> Données: C:\Documents and Settings\Hamza\e2uqdzc154.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|rundll32 (Heuristics.Shuriken) -> Données: C:\Documents and Settings\Hamza\Application Data\rundll32.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{15DDE1AE-1D93-AD41-45EA-0D0A4F632E18} (Trojan.Zbot.DTGen) -> Données: "C:\Documents and Settings\Hamza\Application Data\Rogyi\aqtyi.exe" -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|MSIDLL (Trojan.Agent) -> Données: rundll32.exe msicdq32.dll,NJMUnjmVN -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 6
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders|SecurityProviders (Trojan.Passwords) -> Mauvais: (EqpegrOfwenr.dll) Bon: () -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 56
C:\Documents and Settings\Hamza\makqihvvcb.exe (Trojan.Agent) -> Suppression au redémarrage.
C:\Documents and Settings\Hamza\e2uqdzc154.exe (Trojan.Agent) -> Suppression au redémarrage.
C:\Documents and Settings\Hamza\Application Data\rundll32.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Hamza\Application Data\Rogyi\aqtyi.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\EqpegrOfwenr.dll (Trojan.Passwords) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Hamza\Local Settings\Application Data\Sun\Java\Deployment\cache\6.0\43\33201ab-401da92a (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Hamza\Mes documents\SoftonicDownloader_pour_bittorrent.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP103\A0129477.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP103\A0130393.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP103\A0131394.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP103\A0132393.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP103\A0132729.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP103\A0132805.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP103\A0132854.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP104\A0132923.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP104\A0133116.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP104\A0133186.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP105\A0133654.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP105\A0134653.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP105\A0135651.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP105\A0136654.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP105\A0137653.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP105\A0138654.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP106\A0138691.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP106\A0139658.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP106\A0139723.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP106\A0139763.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP106\A0140764.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP107\A0140803.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP107\A0141763.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP107\A0142764.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP107\A0143763.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP107\A0143833.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP107\A0143870.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP108\A0143960.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP108\A0144903.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP108\A0145875.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP108\A0146871.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP109\A0149001.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP109\A0150082.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP109\A0150571.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP110\A0150789.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP110\A0151573.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP111\A0151782.exe (Trojan.Zbot.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP112\A0152239.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP112\A0152612.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP112\A0152853.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP113\A0153094.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP113\A0153181.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP113\A0153385.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP114\A0154182.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP116\A0154524.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{BB0BA221-46E8-4D54-ADC4-40589214004C}\RP116\A0155180.exe (Trojan.Zbot.DTGen) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\hcsd.exe (PUP.Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\tazebama.dll (Worm.Mabezat) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\system32\msicdq32.dll (Trojan.Agent) -> Suppression au redémarrage.
(fin)


Autres pages sur : virus mabezat

a c 614 8 Sécurité
30 Mai 2012 16:41:19

Bonjour,

Ah ben tiens, cela change des malware gendarmerie :D 

MBAM semble avoir fait le gros du boulot, on va vérifier.

Cette infection se propageant par support amovible, fais ceci :


Télécharge UsbFix (de El Desaparecido) sur ton Bureau.

/!\ Déconnecte-toi et ferme toutes les applications en cours /!\
/!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    Puis :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 614 8 Sécurité
    30 Mai 2012 22:31:50

    Re,

    Ok, encore infecté et les supports amovibles sont touché.
    Tu as aussi des adwares (logiciels publicitaires).

    Et ne t'étonne pas de tes désagréments avec ce genre de comportement :
    Citation :
    C:\Documents and Settings\Hamza\Mes documents\Video_Downloadhelper_4_8_keygen.exe



    1) Relance UsbFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Suppression" pour lancer le nettoyage. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil, ton bureau va disparaitre, c'est normal.
  • S'il te demande d'envoyer un fichier .zip, accepte.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.


    2) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    - Complitly (adware)


    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    PRC - [2011/11/10 13:05:00 | 001,694,608 | ---- | M] (Bandoo Media, inc) -- C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rmojnn.sys -- (abp470n5)
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=417&sr=0&q={searchTerms}
    IE - HKU\S-1-5-21-1343024091-1979792683-515967899-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://dts.search-results.com/sidebar.html?src=ssb&appid=0&systemid=417&sr=0
    IE - HKU\S-1-5-21-1343024091-1979792683-515967899-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.babylon.com/?babsrc=HP_ss&mntrId=18e8fdd900000000000000e04d57dc6a
    IE - HKU\S-1-5-21-1343024091-1979792683-515967899-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://dts.search-results.com/sr?src=ieb&appid=0&systemid=417&sr=0&q={searchTerms}
    IE - HKU\S-1-5-21-1343024091-1979792683-515967899-1003\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A}
    IE - HKU\S-1-5-21-1343024091-1979792683-515967899-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.funmoods.com/?a=make&s={searchTerms}&f=4
    IE - HKU\S-1-5-21-1343024091-1979792683-515967899-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851639
    FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
    FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=414&sr=0&q="
    [2012/02/13 01:56:59 | 000,001,798 | ---- | M] () -- C:\Documents and Settings\Hamza\Application Data\Mozilla\Firefox\Profiles\ohikdv1i.default\searchplugins\funmoods.xml
    [2012/02/14 19:19:38 | 000,002,515 | ---- | M] () -- C:\Documents and Settings\Hamza\Application Data\Mozilla\Firefox\Profiles\ohikdv1i.default\searchplugins\Search_Results.xml
    [2012/04/01 00:39:42 | 000,002,298 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
    [2012/02/14 19:19:38 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
    O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Documents and Settings\Hamza\Application Data\Complitly\Complitly.dll (SimplyGen)
    O2 - BHO: (no name) - {9D717F81-9148-4f12-8568-69135F087DB0} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
    O3 - HKU\S-1-5-21-1343024091-1979792683-515967899-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe (Bandoo Media, inc)
    O7 - HKU\S-1-5-21-1343024091-1979792683-515967899-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O7 - HKU\S-1-5-21-1343024091-1979792683-515967899-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\datamngr.dll) - C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngr.dll (Bandoo Media, inc)
    O20 - AppInit_DLLs: (C:\PROGRA~1\WI9130~1\Datamngr\IEBHO.dll) - File not found
    O33 - MountPoints2\{0c6f8289-4db8-11e1-aa64-00e04d57dc6a}\Shell\AUToplAY\cOmManD - "" = E:\mmsrm.pif
    O33 - MountPoints2\{0c6f8289-4db8-11e1-aa64-00e04d57dc6a}\Shell\AutoRun\command - "" = E:\mmsrm.pif
    O33 - MountPoints2\{0c6f8289-4db8-11e1-aa64-00e04d57dc6a}\Shell\eXplorE\COmmaND - "" = E:\mmsrm.pif
    O33 - MountPoints2\{0c6f8289-4db8-11e1-aa64-00e04d57dc6a}\Shell\open\cOmMaND - "" = E:\mmsrm.pif
    O33 - MountPoints2\{0c6f828a-4db8-11e1-aa64-00e04d57dc6a}\Shell\aUtOpLay\commAnD - "" = F:\lyvv.pif
    O33 - MountPoints2\{0c6f828a-4db8-11e1-aa64-00e04d57dc6a}\Shell\AutoRun\command - "" = F:\lyvv.pif
    O33 - MountPoints2\{0c6f828a-4db8-11e1-aa64-00e04d57dc6a}\Shell\eXploRE\COmMAnD - "" = F:\lyvv.pif
    O33 - MountPoints2\{0c6f828a-4db8-11e1-aa64-00e04d57dc6a}\Shell\opEn\commaND - "" = F:\lyvv.pif
    O33 - MountPoints2\{28489087-92ff-11e1-aaf7-00e04d57dc6a}\Shell\AutopLay\Command - "" = F:\trfaw.pif
    O33 - MountPoints2\{28489087-92ff-11e1-aaf7-00e04d57dc6a}\Shell\AutoRun\command - "" = F:\trfaw.pif
    O33 - MountPoints2\{28489087-92ff-11e1-aaf7-00e04d57dc6a}\Shell\EXplore\coMmANd - "" = F:\trfaw.pif
    O33 - MountPoints2\{28489087-92ff-11e1-aaf7-00e04d57dc6a}\Shell\open\cOMmAnd - "" = F:\trfaw.pif
    O33 - MountPoints2\{8bb03960-849e-11e1-aadb-00e04d57dc6a}\Shell\AutoRun\command - "" = E:\SysAnti.exe
    O33 - MountPoints2\{8bb03960-849e-11e1-aadb-00e04d57dc6a}\Shell\Explore\Command - "" = E:\SysAnti.exe
    O33 - MountPoints2\{8bb03960-849e-11e1-aadb-00e04d57dc6a}\Shell\Open\Command - "" = E:\SysAnti.exe
    O33 - MountPoints2\{cebcab73-4f0b-11e1-aa66-00e04d57dc6a}\Shell\autopLay\comMaNd - "" = E:\whltc.pif
    O33 - MountPoints2\{cebcab73-4f0b-11e1-aa66-00e04d57dc6a}\Shell\AutoRun\command - "" = E:\whltc.pif
    O33 - MountPoints2\{cebcab73-4f0b-11e1-aa66-00e04d57dc6a}\Shell\eXPLoRE\Command - "" = E:\whltc.pif
    O33 - MountPoints2\{cebcab73-4f0b-11e1-aa66-00e04d57dc6a}\Shell\opeN\cOmManD - "" = E:\whltc.pif
    ActiveX: {E8CCA5C3-5F97-743E-DD43-9BBE11DAD833} - C:\DOCUME~1\Hamza\LOCALS~1\Temp\IXP002.TMP\amina.exe
    [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2 C:\Documents and Settings\Hamza\Bureau\*.tmp files -> C:\Documents and Settings\Hamza\Bureau\*.tmp -> ]
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/04/01 00:29:27 | 000,083,968 | ---- | C] () -- C:\WINDOWS\UnGins.exe
    [2012/03/23 16:31:48 | 000,046,264 | ---- | C] () -- C:\WINDOWS\System32\drivers\746f3930ced00f28.sys
    [2012/04/01 00:39:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon
    [2012/04/01 00:39:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hamza\Application Data\Babylon
    [2012/01/31 23:39:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hamza\Application Data\Complitly
    [2012/03/22 13:56:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hamza\Application Data\Ehxoyf
    [2012/02/01 23:11:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hamza\Application Data\Rogyi
    [2012/02/05 14:16:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hamza\Application Data\searchquband
    [2012/02/11 13:08:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Hamza\Application Data\tazebama

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\windwkm.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winchwd.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winnnakc.exe"=-
    "C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.EXE"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\yyin.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wrxbv.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wingpprqg.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winfbxs.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wqsm.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winxajhx.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\qeeibt.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\qxuxys.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winllkan.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winrtapta.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winlkgld.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winphumo.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winxriox.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\sbxb.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\epstr.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winkeqgt.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wingirrn.exe"=-
    "C:\Documents and Settings\Hamza\Application Data\rundll32.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winunybc.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\whodj.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winskwyq.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\dvao.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\qjfpsj.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\weiv.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\qnubw.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\knwxq.exe"=-
    "C:\Documents and Settings\Hamza\Mes documents\Video_Downloadhelper_4_8_keygen.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\imdvmy.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winptkf.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wintmkt.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\iuoj.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\jsysvw.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\agwsg.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\qctdwj.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\xaji.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\gwkkja.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winhuvlyi.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winqudb.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\tmdh.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winnnmvm.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winuoqluw.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winloai.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winqyhh.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wincfmn.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\mymmm.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\dtyc.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winthslx.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winxljee.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winosxsil.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winrswda.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wingolskk.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winduwbi.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winkbrg.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winxkeqpf.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winsddefa.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\sfjtvj.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\nanuh.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\kvskpn.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winowry.exe"= -
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winklmnu.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\alhdkx.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winyexpos.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winfirve.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\dqykjr.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winuvxhfg.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winlvyg.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wingxhk.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wintrhyh.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\jrce.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\edtta.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winwjratt.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wingdlsve.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\ahwc.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winkeiek.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winpascww.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\yupdu.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\nrfw.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winrkoq.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winghywe.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winpyns.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winkilnq.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winwglwhe.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\ktorjf.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\pqsju.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\wincqdn.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winyyrj.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winaieh.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winuecav.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winlomb.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\khkahj.exe"=-
    "C:\Documents and Settings\Hamza\makqihvvcb.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winmcsgo.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\nnfhc.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\winwvsv.exe"=-
    "C:\DOCUME~1\Hamza\LOCALS~1\Temp\ucgmsf.exe"=-
    "C:\Documents and Settings\Hamza\e2uqdzc154.exe"=-

    :Files
    ipconfig /flushdns /c
    C:\Documents and Settings\Hamza\makqihvvcb.exe
    C:\Documents and Settings\Hamza\e2uqdzc154.exe
    C:\Documents and Settings\Hamza\Application Data\rundll32.exe
    C:\Program Files\Windows Searchqu Toolbar
    C:\Documents and Settings\Hamza\Application Data\Complitly

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    31 Mai 2012 00:29:05

    PS: "Complitly" et pas complicity .
    a c 614 8 Sécurité
    31 Mai 2012 10:18:56

    Re,

    Tu avais laissé tes supports amovibles branché lors du passage de suppression avec USBFix ?
    On dirait que non ...

    Il y a un fichier récalcitrant, on va tenter de le supprimer autrement :

    Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    a c 614 8 Sécurité
    1 Juin 2012 11:50:20

    Re,

    Ah ben oui, du coup c'est beaucoup mieux ;) 
    Et Combofix a fini le boulot.

    On va nettoyer des restes sur les lecteurs E: et F:, pense donc à bien les connecter avant de lancer ce script :

    Est-ce que ces dossiers sont à toi et crée par toi ?
    Citation :
    F:\Imene
    F:\tebija

    Si oui, ok, si non, supprime-les manuellement avant ou après le script.

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    FF - prefs.js: keyword.URL - hxxp://dts.search-results.com/sr?src=ffb&appid=0&systemid=414&sr=0&q=

    :Files
    F:\~WRL0560.tmp
    F:\vqkoy.exe
    F:\nkxch.cmd
    F:\~WRL0970.tmp
    F:\zmijsko
    F:\~$ondoleances.doc
    F:\~$uatioc5.doc
    F:\~$uatioc5benteboula.doc
    F:\~WRL0983.tmp
    F:\~WRL1568.tmp
    F:\~WRL1894.tmp
    F:\~WRL2444.tmp
    F:\urkekc.exe
    F:\jjnjp.pif
    F:\~WRL2815.tmp
    F:\~WRL2921.tmp
    F:\~WRL3252.tmp
    F:\~WRL3769.tmp
    F:\~WRL3986.tmp
    E:\Hamza\cisco2\exercices (cisco)\chap2\WinrRarSerialInstall.exe
    E:\Hamza\cisco2\exercices (cisco)\chap3\Win98compatibleXP.exe
    E:\Hamza\cisco2\exercices (cisco)\chap4\Adjust Time.exe
    E:\Hamza\cisco2\Office2007 Serial.txt.exe
    E:\Hamza\eclipse\JetAudio dump.exe
    E:\Hamza\eclipse\workspace\1\Office2007 Serial.txt.exe
    E:\Hamza\eclipse\workspace\ag\log\FloppyDiskPartion.exe
    E:\Hamza\eclipse\workspace\ag\Make Windows Original.exe
    E:\Hamza\eclipse\workspace\aplication1\JetAudio dump.exe
    E:\Hamza\eclipse\workspace\app1\InstallMSN11Ar.exe
    E:\Hamza\eclipse\workspace\application3d\InstallMSN11En.exe
    E:\Hamza\eclipse\workspace\boitede dialogue\Lock Folder.exe
    E:\Hamza\eclipse\workspace\BrowseAllUsers.exe
    E:\Hamza\eclipse\workspace\classifieure\Crack_GoogleEarthPro.exe
    E:\Hamza\eclipse\workspace\communication\AmericanOnLine.exe
    E:\Hamza\eclipse\workspace\fenetre\FloppyDiskPartion.exe
    E:\Hamza\eclipse\workspace\hamza\HP_LaserJetAllInOneConfig.exe
    E:\Hamza\eclipse\workspace\ihm\Microsoft Windows Network.exe
    E:\Hamza\eclipse\workspace\interface\Adjust Time.exe
    E:\Hamza\eclipse\workspace\monprojet\log\HP_LaserJetAllInOneConfig.exe
    E:\Hamza\eclipse\workspace\monprojet\Recycle Bin.exe
    E:\Hamza\eclipse\workspace\org.eclipse.swt.examples\bin\Microsoft Windows Network.exe
    E:\Hamza\eclipse\workspace\org.eclipse.swt.examples\bin\org\eclipse\MakeUrOwnFamilyTree.exe
    E:\Hamza\eclipse\workspace\org.eclipse.swt.examples\bin\org\eclipse\swt\examples\addressbook\BrowseAllUsers.exe
    E:\Hamza\eclipse\workspace\org.eclipse.swt.examples\bin\org\eclipse\swt\examples\browserexample\ShowDesktop.exe
    E:\Hamza\eclipse\workspace\org.eclipse.swt.examples\bin\org\eclipse\swt\examples\clipboard\CD Burner.exe
    E:\Hamza\eclipse\workspace\org.eclipse.swt.examples\bin\org\eclipse\swt\examples\controlexample\Disk Defragmenter.exe
    E:\Hamza\eclipse\workspace\org.eclipse.swt.examples\bin\org\eclipse\swt\examples\Crack_GoogleEarthPro.exe
    Crack_GoogleEarthPro.exe /s /alldrives
    Disk Defragmenter.exe /s /alldrives
    CD Burner.exe /s /alldrives
    ShowDesktop.exe /s /alldrives
    BrowseAllUsers.exe /s /alldrives
    MakeUrOwnFamilyTree.exe /s /alldrives
    Recycle Bin.exe /s /alldrives
    HP_LaserJetAllInOneConfig.exe /s /alldrives
    Microsoft Windows Network.exe /s /alldrives
    FloppyDiskPartion.exe /s /alldrives
    AmericanOnLine.exe /s /alldrives
    Lock Folder.exe /s /alldrives
    InstallMSN11En.exe /s /alldrives
    Office2007 Serial.txt.exe /s /alldrives
    WinrRarSerialInstall.exe /s /alldrives
    Win98compatibleXP.exe /s /alldrives
    JetAudio dump.exe /s /alldrives
    Make Windows Original.exe /s /alldrives

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a c 614 8 Sécurité
    1 Juin 2012 16:46:13

    Re,

    Ok.

    As-tu encore des alertes de ton antivirus ou des symptômes sur le pc ?

    Si tout est ok, on nettoiera les outils utilisés et on conlura.

    1 Juin 2012 23:59:39

    Oui, il y'a des symptomes : quand j'éteint le pc, et je le rallume, la modification du registre et le gestionnaire des taches se desactivent de nouveau, alors je les réactive a chaque fois . .
    a c 614 8 Sécurité
    2 Juin 2012 10:14:49

    Re,

    Tu avais bien branché tout tes supports amovibles pendant les différentes manipulations ?

    Tu n'en a pas re-branché d'autres depuis qui aurait pu être infecté avant ?

    Refais ceci avec tous tes support amovible branché :

    Relance USBFix :

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS