Votre question

Erreur pare feu 0x6D9 Windows familial 7

Tags :
  • Pare-feu
  • Adware
  • Windows
  • Rootkit
  • zeroaccess
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Avril 2013 12:15:34

Bonjour. J'ai le même problème que le monsieur du dessus. Quelqu'un pourrait m'aider?

Autres pages sur : erreur pare feu 0x6d9 windows familial

a c 612 8 Sécurité
a b 9 Windows
4 Avril 2013 14:01:48

Bonjour,

D'autres problème sur ce pc ? Souci de connexion, d'alerte de ton antivirus ?

à faire ensuite :

1) Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    4 Avril 2013 14:11:37

    Merci de ta réponse, man grandement apprécié.

    Voici le rapport après le scan via Farbar Service:

    Farbar Service Scanner Version: 03-03-2013
    Ran by eugenia (administrator) on 04-04-2013 at 14:10:05
    Running from "C:\Users\eugenia\Documents\Mes fichiers reçus"
    Windows 7 Home Premium Service Pack 1 (X64)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Attempt to access Yahoo IP returned error. Yahoo IP is offline
    Yahoo.com is accessible.


    Windows Firewall:
    =============
    MpsSvc Service is not running. Checking service configuration:
    The start type of MpsSvc service is OK.
    The ImagePath of MpsSvc service is OK.
    The ServiceDll of MpsSvc service is OK.


    Firewall Disabled Policy:
    ==================


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Action Center:
    ============
    wscsvc Service is not running. Checking service configuration:
    Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
    Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
    Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.


    Windows Update:
    ============

    Windows Autoupdate Disabled Policy:
    ============================


    Windows Defender:
    ==============
    WinDefend Service is not running. Checking service configuration:
    Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
    Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
    Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.


    Other Services:
    ==============
    Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
    Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
    Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to retrieve ServiceDll of SharedAccess. The value does not exist.
    Checking Start type of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
    Checking ImagePath of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.
    Checking ServiceDll of iphlpsvc: ATTENTION!=====> Unable to open iphlpsvc registry key. The service key does not exist.


    File Check:
    ========
    C:\Windows\System32\nsisvc.dll => MD5 is legit
    C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
    C:\Windows\System32\dhcpcore.dll => MD5 is legit
    C:\Windows\System32\drivers\afd.sys => MD5 is legit
    C:\Windows\System32\drivers\tdx.sys => MD5 is legit
    C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
    C:\Windows\System32\dnsrslvr.dll => MD5 is legit
    C:\Windows\System32\mpssvc.dll => MD5 is legit
    C:\Windows\System32\bfe.dll => MD5 is legit
    C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
    C:\Windows\System32\SDRSVC.dll => MD5 is legit
    C:\Windows\System32\vssvc.exe => MD5 is legit
    C:\Windows\System32\wscsvc.dll => MD5 is legit
    C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
    C:\Windows\System32\wuaueng.dll => MD5 is legit
    C:\Windows\System32\qmgr.dll => MD5 is legit
    C:\Windows\System32\es.dll => MD5 is legit
    C:\Windows\System32\cryptsvc.dll => MD5 is legit
    C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
    C:\Windows\System32\ipnathlp.dll => MD5 is legit
    C:\Windows\System32\iphlpsvc.dll => MD5 is legit
    C:\Windows\System32\svchost.exe => MD5 is legit
    C:\Windows\System32\rpcss.dll => MD5 is legit


    **** End of log ****
    m
    0
    l
    Contenus similaires
    4 Avril 2013 14:55:55

    Sinon non pas de problème d'antivirus (j'ai installé Avast version gratuit avant j'avais NOD 32 qui a expiré et que j'ai pas réussi à réinstaller), ça rame juste un peu plus qu'avant.
    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    4 Avril 2013 15:21:18

    Re,

    Il me faudrait les rapports OTL.txt et extra.txt comme demandé dans mon premier message s'il te plait ;) 

    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    4 Avril 2013 15:36:01

    Re,

    Comme je le craignais, tu as été infecté par le rootkit zeroaccess, car ton système et ses plugins ne sont pas à jour et que tu as fréquenté des sites contenant des malwaretising (pubs infectées), généralement des sites de streamings ou téléchargement.

    Tu as aussi plusieurs adwares (logiciels publicitaires) sur ce pc, car tu n'es pas assez vigilants à l'installation des logiciels "gratuits", et notamment dans le choix des plateformes de téléchargement :
    http://www.malekal.com/2013/02/14/01nettelecharger-com-...

    On va nettoyer tout cela :

    1) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Scan en haut à droite.
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, clique sur le bouton "Rapport", il est aussi enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    4 Avril 2013 16:35:17

    Ouais effectivement je vais sur pas mal de site pour matter des films en streaming... Qu'est-ce que tu veux dire par fermer toutes les fenêtres? Faut absolument fermer le navigateur internet avant de lancer un de ces logiciels?

    Sinon voici le rapport après le scan via Rogue Killer:

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueK...
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : eugenia [Droits d'admin]
    Mode : Recherche -- Date : 04/04/2013 15:40:41
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 8 ¤¤¤
    [TASK][SUSP PATH] McQcModifier-5c47-a7b0 : C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd [-] -> TROUVÉ
    [TASK][SUSP PATH] Updater12765.exe : C:\Users\eugenia\AppData\Local\Updater12765\Updater12765.exe /extensionid=12765 /extensionname="Savings Wave" /chromeid=lglkfgcmohcdajpldlnhjjiojjgkbmhm [7] -> TROUVÉ
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
    [HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
    [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$3022420965784570fa3f210a969a9fdf\n.) [x] -> TROUVÉ
    [HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$3022420965784570fa3f210a969a9fdf\n.) [x] -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$3022420965784570fa3f210a969a9fdf\@ [-] --> TROUVÉ
    [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3244029169-1897612490-238465279-1000\$3022420965784570fa3f210a969a9fdf\@ [-] --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$3022420965784570fa3f210a969a9fdf\U --> TROUVÉ
    [ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-21-3244029169-1897612490-238465279-1000\$3022420965784570fa3f210a969a9fdf\U --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$3022420965784570fa3f210a969a9fdf\L --> TROUVÉ
    [ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-21-3244029169-1897612490-238465279-1000\$3022420965784570fa3f210a969a9fdf\L --> TROUVÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts



    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS545050B9A300 +++++
    --- User ---
    [MBR] 3d425792576222e11235000a7b462106
    [BSP] e039db28d6a955fd12c9924d109730cd : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 101 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 25382700 | Size: 464545 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1]_S_04042013_154041.txt >>
    RKreport[1]_S_04042013_154041.txt

    Merci encore pour ton aide. :) 

    Oula votre forum a un p'tit souci là non? :/  Ca doit être moi qui doit porter la poisse...
    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    4 Avril 2013 18:41:25

    Re,

    Oui, lorsque je demande de fermer toutes les fenêtres, ce sont tous les programmes actifs, navigateur compris.
    Il faudra le faire dans la procédure suivante, je vais la faire en plusieurs étapes pour pas que tu te perdes :


    Relance RogueKiller :
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis le bouton Suppression en haut à droite.
    (Note : si le bouton est grisé, lance d'abord un scan pour qu'il devienne actif)
  • Laisse l'outil travailler.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)
    m
    0
    l
    4 Avril 2013 19:00:12

    Voici le rapport après scan et supression avec Rogue Killer:

    RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueK...
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : eugenia [Droits d'admin]
    Mode : Suppression -- Date : 04/04/2013 18:59:01
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [TASK][SUSP PATH] McQcModifier-5c47-a7b0 : C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd [-] -> SUPPRIMÉ
    [TASK][SUSP PATH] Updater12765.exe : C:\Users\eugenia\AppData\Local\Updater12765\Updater12765.exe /extensionid=12765 /extensionname="Savings Wave" /chromeid=lglkfgcmohcdajpldlnhjjiojjgkbmhm [7] -> SUPPRIMÉ
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
    [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
    [HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\$Recycle.Bin\S-1-5-18\$3022420965784570fa3f210a969a9fdf\n.) [x] -> REMPLACÉ (C:\Windows\system32\wbem\fastprox.dll)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
    [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$3022420965784570fa3f210a969a9fdf\@ [-] --> SUPPRIMÉ
    [ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-21-3244029169-1897612490-238465279-1000\$3022420965784570fa3f210a969a9fdf\@ [-] --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$3022420965784570fa3f210a969a9fdf\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3244029169-1897612490-238465279-1000\$3022420965784570fa3f210a969a9fdf\U --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$3022420965784570fa3f210a969a9fdf\L --> SUPPRIMÉ
    [ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-21-3244029169-1897612490-238465279-1000\$3022420965784570fa3f210a969a9fdf\L --> SUPPRIMÉ

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Infection : ZeroAccess ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts



    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Hitachi HTS545050B9A300 +++++
    --- User ---
    [MBR] 3d425792576222e11235000a7b462106
    [BSP] e039db28d6a955fd12c9924d109730cd : Windows 7/8 MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 101 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 25382700 | Size: 464545 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[3]_D_04042013_185901.txt >>
    RKreport[1]_S_04042013_154041.txt ; RKreport[2]_S_04042013_185645.txt ; RKreport[3]_D_04042013_185901.txt

    J'espère qu'il reste pas trop de choses à faire. ^^

    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    4 Avril 2013 19:49:10

    Re,

    Si, il reste pas mal de chose à faire, ton infection est très sérieuse et dangereuse.
    Attends que je signale la désinfection terminée avant d'aller de nouveau naviguer sur des sites de streaming ou autre, tu es toujours vulnérable pour le moment !

    1) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    IE - HKU\S-1-5-21-3244029169-1897612490-238465279-1000\..\SearchScopes,DefaultScope = {F4898EF3-8204-482C-844B-BCE459790E4F}
    IE - HKU\S-1-5-21-3244029169-1897612490-238465279-1000\..\SearchScopes\{9CD1F204-19AA-4C52-8FF3-C7B3678B36C7}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn_uid=D7A38C41-92B7-4FC3-A7B0-7572ADD178B1&apn_sauid=78FBB2F7-4D5D-48CE-A53B-522D8F525DE4&
    IE - HKU\S-1-5-21-3244029169-1897612490-238465279-1000\..\SearchScopes\{F4898EF3-8204-482C-844B-BCE459790E4F}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3285358&CUI=UN37000457842491287&UM=2
    FF - prefs.js..browser.search.defaultthis.engineName: "01NET.com Main Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3285358&CUI=UN37083259461614033&UM=2&SearchSource=3&q={searchTerms}"
    FF - prefs.js..extensions.enabledAddons: crossriderapp12765%40crossrider.com:0.91.60
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}:6.0.29
    FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3285358&SearchSource=2&CUI=UN37083259461614033&UM=2&q="
    FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
    [2013/04/02 18:01:14 | 000,000,000 | ---D | M] ("Savings Wave") -- C:\Users\eugenia\AppData\Roaming\mozilla\Firefox\Profiles\nftkall6.default\extensions\crossriderapp12765@crossrider.com
    [2013/04/02 18:01:14 | 000,000,000 | ---D | M] (No name found) -- C:\Users\eugenia\AppData\Roaming\mozilla\Firefox\Profiles\nftkall6.default\extensions\crossriderapp12765@crossrider.com\chrome\content\extensionCode
    [2013/04/03 09:25:03 | 000,001,005 | ---- | M] () -- C:\Users\eugenia\AppData\Roaming\mozilla\firefox\profiles\nftkall6.default\searchplugins\conduit.xml
    CHR - Extension: No name found = C:\Users\eugenia\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.60_0\crossrider
    CHR - Extension: No name found = C:\Users\eugenia\AppData\Local\Google\Chrome\User Data\Default\Extensions\lglkfgcmohcdajpldlnhjjiojjgkbmhm\1.23.60_0\
    O2 - BHO: (no name) - {11111111-1111-1111-1111-110111271165} - No CLSID value found.
    O3 - HKU\S-1-5-21-3244029169-1897612490-238465279-1000\..\Toolbar\WebBrowser: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found.
    MsConfig:64bit - StartUpReg: Bubble Dock - hkey= - key= - File not found
    [2013/04/03 09:26:24 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Conduit
    [2013/04/03 09:25:35 | 000,000,000 | ---D | C] -- C:\Users\eugenia\AppData\Local\Conduit
    [2013/04/03 09:25:24 | 000,000,000 | ---D | C] -- C:\Users\eugenia\AppData\Local\CRE
    [2013/04/02 18:37:13 | 000,000,000 | ---D | C] -- C:\Users\eugenia\AppData\Local\SwvUpdater
    [2013/04/02 18:37:07 | 000,000,000 | ---D | C] -- C:\Users\eugenia\AppData\Local\Lollipop
    [2013/04/02 18:01:46 | 000,000,000 | ---D | C] -- C:\Users\eugenia\AppData\Local\Savings Wave
    [2013/04/02 18:01:15 | 000,000,000 | ---D | C] -- C:\Users\eugenia\AppData\Local\Updater12765
    [2013/04/02 18:01:04 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Nosibay
    [2013/04/02 17:32:36 | 000,000,000 | ---D | C] -- C:\Users\eugenia\AppData\Roaming\Nosibay
    [2013/04/03 09:07:15 | 000,099,392 | ---- | M] () -- C:\Program Files (x86)\01-telecharger_pour_avastfreeantivirus.exe
    [2013/04/02 15:47:02 | 000,442,024 | ---- | M] () -- C:\Windows\eins2754.dll
    [2012/10/01 14:30:58 | 000,082,870 | ---- | C] () -- C:\ProgramData\vdqaygepqfvvgaj

    :Files
    C:\Program Files\ESET
    C:\ProgramData\McQcModifier-5c47-a7b0

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    4 Avril 2013 20:13:49

    V'là le rapport après suppression via adwcleaner:

    # AdwCleaner v2.200 - Rapport créé le 04/04/2013 à 20:07:21
    # Mis à jour le 02/04/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : eugenia - ANDER
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\eugenia\Documents\Mes fichiers reçus\adwcleaner.exe
    # Option [Suppression]


    ***** [Services] *****


    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\Conduit
    Dossier Supprimé : C:\Program Files (x86)\Nosibay
    Dossier Supprimé : C:\Users\eugenia\AppData\Local\Conduit
    Dossier Supprimé : C:\Users\eugenia\AppData\Local\lollipop
    Dossier Supprimé : C:\Users\eugenia\AppData\Local\SwvUpdater
    Dossier Supprimé : C:\Users\eugenia\AppData\LocalLow\Conduit
    Dossier Supprimé : C:\Users\eugenia\AppData\LocalLow\Toolbar4
    Dossier Supprimé : C:\Users\eugenia\AppData\Roaming\Mozilla\Firefox\Profiles\nftkall6.default\extensions\crossriderapp12765@crossrider.com
    Dossier Supprimé : C:\Users\eugenia\AppData\Roaming\Nosibay
    Fichier Supprimé : C:\Users\eugenia\AppData\Roaming\Mozilla\Firefox\Profiles\nftkall6.default\searchplugins\Conduit.xml

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
    Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
    Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
    Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
    Clé Supprimée : HKCU\Software\Conduit
    Clé Supprimée : HKCU\Software\Cr_Installer
    Clé Supprimée : HKCU\Software\InstalledBrowserExtensions
    Clé Supprimée : HKCU\Software\lollipop
    Clé Supprimée : HKCU\Software\Nosibay
    Clé Supprimée : HKCU\Software\SearchProtect
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\Wajam
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0012765.BHO
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0012765.BHO.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0012765.Sandbox
    Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0012765.Sandbox.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2BF2028E-3F3C-4C05-AB45-B2F1DCFE0759}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{DB538320-D3C5-433C-BCA9-C4081A054FCF}
    Clé Supprimée : HKLM\Software\Conduit
    Clé Supprimée : HKLM\Software\Iminent
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Iminent_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Iminent_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111271165}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110111271165}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110111271165}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110111271165}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SearchTheWebARP
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{021B4049-F57D-4565-A693-FD3B04786BFA}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0362AA09-808D-48E9-B360-FB51A8CBCE09}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{06844020-CD0B-3D3D-A7FE-371153013E49}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0ADC01BB-303B-3F8E-93DA-12C140E85460}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10D3722F-23E6-3901-B6C1-FF6567121920}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1675E62B-F911-3B7B-A046-EB57261212F3}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{192929F2-9273-3894-91B0-F54671C4C861}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2932897E-3036-43D9-8A64-B06447992065}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2DE92D29-A042-3C37-BFF8-07C7D8893EFA}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{32B80AD6-1214-45F4-994E-78A5D482C000}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3A8E103F-B2B7-3BEF-B3B0-88E29B2420E4}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{478CE5D3-D38E-3FFE-8DBE-8C4A0F1C4D8D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{48B7DA4E-69ED-39E3-BAD5-3E3EFF22CFB0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5982F405-44E4-3BBB-BAC4-CF8141CBBC5C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{5D8C3CC3-3C05-38A1-B244-924A23115FE9}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{641593AF-D9FD-30F7-B783-36E16F7A2E08}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{711FC48A-1356-3932-94D8-A8B733DBC7E4}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{72227B7F-1F02-3560-95F5-592E68BACC0C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{890D4F59-5ED0-3CB4-8E0E-74A5A86E7ED0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8C68913C-AC3C-4494-8B9C-984D87C85003}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8D019513-083F-4AA5-933F-7D43A6DA82C4}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{923F6FB8-A390-370E-A0D2-DD505432481D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9BBB26EF-B178-35D6-9D3D-B485F4279FE5}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A62DDBE0-8D2A-339A-B089-8CBCC5CD322A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A82AD04D-0B8E-3A49-947B-6A69A8A9C96D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ADEB3CC9-A05D-4FCC-BD09-9025456AA3EA}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B06D4521-D09C-3F41-8E39-9D784CCA2A75}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C06DAD42-6F39-4CE1-83CC-9A8B9105E556}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2E799D0-43A5-3477-8A98-FC5F3677F35C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D16107CD-2AD5-46A8-BA59-303B7C32C500}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D25B101F-8188-3B43-9D85-201F372BC205}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D2BA7595-5E44-3F1E-880F-03B3139FA5ED}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D35F5C81-17D9-3E1C-A1FC-4472542E1D25}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D8FA96CA-B250-312C-AF34-4FF1DD72589D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DAFC1E63-3359-416D-9BC2-E7DCA6F7B0F3}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DC5E5C44-80FD-3697-9E65-9F286D92F3E7}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E1B4C9DE-D741-385F-981E-6745FACE6F01}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E7B623F5-9715-3F9F-A671-D1485A39F8A2}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ED916A7B-7C68-3198-B87D-2DABC30A5587}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EFA1BDB2-BB3D-3D9A-8EB5-D0D22E0F64F4}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4CBF4DD-F8FE-35BA-BB7E-68304DAAB70B}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC32005D-E27C-32E0-ADFA-152F598B75E7}
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v10.0.9200.16521

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v19.0.2 (fr)

    Fichier : C:\Users\eugenia\AppData\Roaming\Mozilla\Firefox\Profiles\nftkall6.default\prefs.js

    Supprimée : user_pref("CT3285358_Firefox.csv", "[{\"from\":\"Abs Layer\",\"action\":\"loading toolbar\",\"time\"[...]
    Supprimée : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3285358&octid=CT328535[...]
    Supprimée : user_pref("Smartbar.ConduitSearchEngineList", "");
    Supprimée : user_pref("Smartbar.ConduitSearchUrlList", "");
    Supprimée : user_pref("Smartbar.SearchFromAddressBarSavedUrl", "");
    Supprimée : user_pref("Smartbar.keywordURLSelectedCTID", "CT3285358");
    Supprimée : user_pref("browser.search.defaultthis.engineName", "01NET.com Main Customized Web Search");
    Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3285358&CUI[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.InstallationThankYouPage", true);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.InstallationTime", 1364918472);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.InstallationUserSettings.searchUserConifrmation", fal[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.InstallationUserSettings.setHomepage", false);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.InstallationUserSettings.setNewTab", false);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.InstallationUserSettings.setSearch", false);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.active", true);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.addressbar", "");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.addressbarenhanced", "");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.backgroundjs", "\n\n//\n");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.backgroundver", 37);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.can_run_bg_code", true);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.certdomaininstaller", "");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.changeprevious", false);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie.InstallationTime.expiration", "Fri Feb 01 2030[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie.InstallationTime.value", "1364918472");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie.InstallerParams.expiration", "Fri Feb 01 2030 [...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_aoi.expiration", "Fri Feb 01 2030 00:00:0[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_aoi.value", "1364918472");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_arbitrary_code.expiration", "Thu Apr 04 2[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_arbitrary_code.value", "%22/**/%22");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_blocklist.expiration", "Thu Apr 04 2013 2[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_blocklist.value", "%22nonexistantdomain.c[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_country_code.expiration", "Tue Apr 09 201[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_country_code.value", "%22FR%22");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_crr.expiration", "Fri Feb 01 2030 00:00:0[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_crr.value", "1365094642");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_currenttime.expiration", "Fri Feb 01 2030[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_currenttime.value", "%221364833291%22");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_hotfix20111102645.expiration", "Fri Feb 0[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_hotfix20111102645.value", "%221%22");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_installer_params.expiration", "Fri Feb 01[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_installer_params.value", "%7B%22source_id[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_installtime.expiration", "Fri Feb 01 2030[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_installtime.value", "%221364833309%22");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_parent_zoneid.expiration", "Fri Feb 01 20[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_parent_zoneid.value", "%22149460%22");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_pc_20120828.expiration", "Fri Feb 01 2030[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_pc_20120828.value", "1364920633881");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_product_id.expiration", "Fri Feb 01 2030 [...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_product_id.value", "%221401%22");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_zoneid.expiration", "Fri Feb 01 2030 00:0[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie._GPL_zoneid.value", "%22166516%22");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie.dbtest.expiration", "Fri Feb 01 2030 00:00:00 [...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.cookie.dbtest.value", "1364919832487");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.description", "Savings Wave");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.domain", "");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.enablesearch", false);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.homepage", "");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.iframe", false);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.InstallerIdentifiers.expiration", "Fri Feb[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.InstallerIdentifiers.value", "%7B%22instal[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_appVer.expiration", "Fri Feb 01 [...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_appVer.value", "62");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_lastVersion.expiration", "Fri Fe[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_lastVersion.value", "0");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_meta.expiration", "Fri Feb 01 20[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_meta.value", "%7B%7D");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_nextCheck.expiration", "Thu Apr [...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_nextCheck.value", "true");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_queue.expiration", "Fri Feb 01 2[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_queue.value", "%7B%7D");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_remote_resources.expiration", "F[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.Resources_remote_resources.value", "%7B%22[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.SoftwareDetected.expiration", "Fri Feb 01 [...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.internaldb.SoftwareDetected.value", "%7B%22AnySoftwar[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.js", "\n\nif(\"undefined\"!=typeof _GPL_PLUGIN){var _[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.manifesturl", "");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.name", "Savings Wave");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.newtab", "");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.opensearch", "");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_1.code", "appAPI._cr_config={appID:fun[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_1.name", "base");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_1.ver", 4);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_1000014.code", "Array.prototype.indexO[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_1000014.name", "GPL Plugin (Loader)");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_1000014.ver", 15);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_1000015.code", "var a=appAPI.db.getLis[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_1000015.name", "GPL Background (BG)");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_1000015.ver", 35);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_13.code", "(function(a){a.selectedText[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_13.name", "CrossriderAppUtils");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_13.ver", 2);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_14.code", "if(typeof(appAPI)===\"undef[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_14.name", "CrossriderUtils");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_14.ver", 2);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_16.code", "if((typeof isBackground===\[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_16.name", "FFAppAPIWrapper");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_16.ver", 5);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_17.code", "if(typeof window!==\"undefi[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_17.name", "jQuery");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_17.ver", 3);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_21.code", "var CrossriderDebugManager=[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_21.name", "debug");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_21.ver", 3);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_22.code", "(function(a){appAPI.queueMa[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_22.name", "resources");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_22.ver", 3);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_28.code", "var CrossriderInitializerPl[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_28.name", "initializer");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_28.ver", 2);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_4.code", "var jQuery = $jquery_171 = $[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_4.name", "jquery_1_7_1");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_4.ver", 3);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_47.code", "(function(){appAPI.ready=fu[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_47.name", "resources_background");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_47.ver", 2);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_64.code", "(function(){var h=\"__CR_EM[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_64.name", "appApiMessage");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_64.ver", 1);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_72.code", "if(appAPI.__should_activate[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_72.name", "appApiValidation");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_72.ver", 2);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_78.code", "if(typeof jQuery!==\"undefi[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_78.name", "CrossriderInfo");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_78.ver", 2);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_98.code", "(function(){var b=\"cr_\"+a[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_98.name", "omniCommands");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins.plugin_98.ver", 1);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins_lists.plugins_0", "4,14,78,16,64,47,72,98,100[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins_lists.plugins_1", "17,14,78,13,16,64,4,1,21,2[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.plugins_lists.plugins_5", "4,14,78,13,16,64,47,72");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.pluginsurl", "hxxp://app-static.crossrider.com/plugin[...]
    Supprimée : user_pref("extensions.crossriderapp12765.12765.pluginsversion", 56);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.publisher", "215 Apps");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.searchstatus", 0);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.setnewtab", false);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.thankyou", "");
    Supprimée : user_pref("extensions.crossriderapp12765.12765.updateinterval", 360);
    Supprimée : user_pref("extensions.crossriderapp12765.12765.ver", 62);
    Supprimée : user_pref("extensions.crossriderapp12765.adsOldValue", -1);
    Supprimée : user_pref("extensions.crossriderapp12765.apps", "12765");
    Supprimée : user_pref("extensions.crossriderapp12765.bic", "13dcb8fb64bee34bc494de21a7e115c3");
    Supprimée : user_pref("extensions.crossriderapp12765.cid", 12765);
    Supprimée : user_pref("extensions.crossriderapp12765.firstrun", false);
    Supprimée : user_pref("extensions.crossriderapp12765.hadappinstalled", true);
    Supprimée : user_pref("extensions.crossriderapp12765.installationdate", 1364919826);
    Supprimée : user_pref("extensions.crossriderapp12765.lastcheck", 22751331);
    Supprimée : user_pref("extensions.crossriderapp12765.lastcheckitem", 22751645);
    Supprimée : user_pref("extensions.crossriderapp12765.modetype", "production");
    Supprimée : user_pref("extensions.crossriderapp12765.reportInstall", true);
    Supprimée : user_pref("extensions.crossriderapp12765.statsDailyCounter", 7);
    Supprimée : user_pref("extensions.enabledAddons", "crossriderapp12765%40crossrider.com:0.91.60,%7B972ce4c6-7e08-[...]
    Supprimée : user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3285358&SearchSource=2&CU[...]
    Supprimée : user_pref("smartbar.machineId", "8PIORUSPF96OZDVNNCK/MEHFSWWWGDKSRW3SKCZIVI1LNFMIAIZY2LVK48WZQCS8AMH[...]

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\eugenia\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Supprimée [l.1] : urls_to_restore_on_startup ={"browser":{"show_home_button":true,"window_placement":{"bottom":850,"left":10,"maximized":false,"ri[...]

    *************************

    AdwCleaner[S6].txt - [28659 octets] - [04/04/2013 20:07:21]

    ########## EOF - C:\AdwCleaner[S6].txt - [28720 octets] ##########
    m
    0
    l
    4 Avril 2013 20:34:34

    Re.

    Je vois pas de mode sandbox pour OTL.exe.

    J'ai pas réussi à aller jusqu’au bout de l'analyse, arriver à EmptyTemp, ça ne répondais plus. :/ 

    Que faire?

    J'ai donc redémarré manuellement et voici le rapport:

    Files\Folders moved on Reboot...
    File\Folder C:\Users\eugenia\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    4 Avril 2013 21:52:46

    Re,

    C'est Avast! qui déclenchera l'alerte pour la sandbox, s'il ne l'a pas fait, c'est ok.

    On va vérifier avec un nouveau rapport, et une autre analyse :

    1) Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.


    msconfig
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    5 Avril 2013 09:29:30

    Bonjour,

    Ok, le rapport semble clean.

    J'attends donc le rapport Malwarebyte's, puis nous passerons aux réparation des dégâts de l'infection (dont le parefeu)

    :jap: 
    m
    0
    l
    6 Avril 2013 08:32:32

    Salut!

    Voilà le rapport après le scan complet de Malware:

    Malwarebytes Anti-Malware (Essai) 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.04.05.03

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 10.0.9200.16521
    eugenia :: ANDER [administrateur]

    Protection: Activé

    05/04/2013 12:47:25
    mbam-log-2013-04-05 (12-47-25).txt

    Type d'examen: Examen complet (C:\|D:\|Q:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 1312578
    Temps écoulé: 10 heure(s), 59 minute(s), 18 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    6 Avril 2013 09:27:59

    Re,

    Parfait, on passe aux réparation alors :

    1) Télécharge Services Repair (de Eset) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur ServicesRepair.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • L'outil va te demander de confirmer le lancement, accepte avec le bouton "Yes"
  • Laisser-le travailler (cela peut prendre quelques minutes)
  • Une nouvelle fenêtre va apparaitre pour demander de redémarrer le PC, accepte avec "Yes"

  • Au redémarrage, un dossier aura été crée sur ton bureau, nommé CC Support
  • Poste-moi dans la prochaine réponse le rapport qui se trouve ici : CC Support\Logs\SvcRepair.txt


    2) Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche toutes les options
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )
    m
    0
    l
    6 Avril 2013 10:20:11

    Voilà le rapport après lancement de Services Repair:

    Log Opened: 2013-04-06 @ 10:14:01
    10:14:01 - -----------------
    10:14:01 - | Begin Logging |
    10:14:01 - -----------------
    10:14:01 - Fix started on a WIN_7 X64 computer
    10:14:01 - Prep in progress. Please Wait.
    10:14:04 - Prep complete
    10:14:04 - Repairing Services Now. Please wait...
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\BFE.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent\SubLayer>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent\Provider>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent\Filter>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\Persistent>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\BootTime\Filter>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy\BootTime>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters\Policy>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BFE>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\BITS.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS\Performance>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\BITS>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\iphlpsvc.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Teredo>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Teredo\{FA88062C-9A61-4C1E-AC45-7143F8F01AAD}>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Teredo>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Isatap\{8AD2FB26-F91E-44F1-9B24-3C0AE56C9CE0}>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\Isatap>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters\IPHTTPS>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\Interfaces>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc\config>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\iphlpsvc>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\MpsSvc.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\Teredo>
    ERROR: Writing SD to <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\Teredo> failed with: Le fichier spécifié est introuvable.
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap>
    ERROR: Writing SD to <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\RPC-EPMap> failed with: Le fichier spécifié est introuvable.
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut>
    ERROR: Writing SD to <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\IPTLSOut> failed with: Le fichier spécifié est introuvable.
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn>
    ERROR: Writing SD to <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\IPTLSIn> failed with: Le fichier spécifié est introuvable.
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\DHCP>
    ERROR: Writing SD to <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords\DHCP> failed with: Le fichier spécifié est introuvable.
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters\PortKeywords>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\MpsSvc>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\SharedAccess.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static\System>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Static>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable\System>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices\Configurable>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\RestrictedServices>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\GloballyOpenPorts>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\AuthorizedApplications>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters\FirewallPolicy>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Epoch2>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Epoch>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\StandardProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\PublicProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile\Logging>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy\DomainProfile>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults\FirewallPolicy>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess\Defaults>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\SharedAccess>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\WinDefend.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\TriggerInfo\0>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\TriggerInfo>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\WinDefend>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\wscsvc.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wscsvc\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wscsvc\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wscsvc>

    SetACL finished successfully.
    INFO: The restore action ignores the object name parameter (paths are read from the backup file). However, other actions that require the object name may be combined with -restore.
    INFORMATION: Input file for restore operation opened: '.\Win7\wuauserv.sddl'
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wuauserv\Security>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wuauserv\Parameters>
    INFORMATION: Restoring SD of: <machine\System\CurrentControlset\Services\wuauserv>

    SetACL finished successfully.
    10:14:09 - Services Repair Complete.
    10:14:34 - Reboot Initiated
    m
    0
    l
    6 Avril 2013 10:24:57

    Et celui obtenu après le scan avec Farbar:

    Farbar Service Scanner Version: 03-03-2013
    Ran by eugenia (administrator) on 06-04-2013 at 10:23:24
    Running from "C:\Users\eugenia\Documents\Mes fichiers reçus"
    Windows 7 Home Premium Service Pack 1 (X64)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Google.com is accessible.
    Attempt to access Yahoo IP returned error. Yahoo IP is offline
    Yahoo.com is accessible.


    Windows Firewall:
    =============

    Firewall Disabled Policy:
    ==================


    System Restore:
    ============

    System Restore Disabled Policy:
    ========================


    Action Center:
    ============

    Windows Update:
    ============

    Windows Autoupdate Disabled Policy:
    ============================


    Windows Defender:
    ==============

    Other Services:
    ==============


    File Check:
    ========
    C:\Windows\System32\nsisvc.dll => MD5 is legit
    C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
    C:\Windows\System32\dhcpcore.dll => MD5 is legit
    C:\Windows\System32\drivers\afd.sys => MD5 is legit
    C:\Windows\System32\drivers\tdx.sys => MD5 is legit
    C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
    C:\Windows\System32\dnsrslvr.dll => MD5 is legit
    C:\Windows\System32\mpssvc.dll => MD5 is legit
    C:\Windows\System32\bfe.dll => MD5 is legit
    C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
    C:\Windows\System32\SDRSVC.dll => MD5 is legit
    C:\Windows\System32\vssvc.exe => MD5 is legit
    C:\Windows\System32\wscsvc.dll => MD5 is legit
    C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
    C:\Windows\System32\wuaueng.dll => MD5 is legit
    C:\Windows\System32\qmgr.dll => MD5 is legit
    C:\Windows\System32\es.dll => MD5 is legit
    C:\Windows\System32\cryptsvc.dll => MD5 is legit
    C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
    C:\Windows\System32\ipnathlp.dll => MD5 is legit
    C:\Windows\System32\iphlpsvc.dll => MD5 is legit
    C:\Windows\System32\svchost.exe => MD5 is legit
    C:\Windows\System32\rpcss.dll => MD5 is legit


    **** End of log ****
    m
    0
    l
    6 Avril 2013 10:59:09

    Bon, apparemment tout est rentré dans l'ordre!

    Cependant j'ai quelques questions:

    J'arrive plus à développer mon historique sous Internet Explorer, est-ce que c'est réparable? J'ai pas l'impression que les données ont été effacées, j'arrive à les retrouver avec la fonction recherche.

    Et est-ce que tu me conseillerai de réinstaller NOD 32 ou de rester sur Avast?

    Est-ce qu'un pare feu + antivirus est suffisant comme protection?

    Et je sais pas trop comment te remercier?! Si t'as un compte paypal je peux te faire un petit virement si tu veux, ça sera de bon coeur (et bien mériter!)
    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    6 Avril 2013 14:15:45

    Re,

    Ok, niveau réparation, c’est bon, il nous reste encore à mettre à jour ton système pour éviter d'être de nouveau infecté, puis je répondrais à tes questions ;) 

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner.exe sur ton bureau.


    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    -----------------

    Mise à jour des logiciels :

    /!\ Cette étape est extrêmement importante, tu as été infecté car certains logiciels/plugins ne sont pas à jour sur ce pc !

    Met à jour les programmes suivants :
    - Java vers la version 7 update 17 (pense vérifier que les anciennes version sont supprimées dans ta liste des programmes, sinon, fais-le )
    - Adobe reader vers X (11.x) (vérifie que les anciennes versions sont supprimée)

    --------------

    Dis-moi quand cela sera bon, on vérifiera que tout est ok puis on passera à tes questions ;) 
    m
    0
    l
    6 Avril 2013 15:12:40

    Ayé j'ai fait comme tu m'as dit, sauf pour Adcleaner qui était déjà désinstallé!
    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    6 Avril 2013 18:08:00

    Re,

    Très bien, je réponds à tes questions alors :

    Citation :
    J'arrive plus à développer mon historique sous Internet Explorer, est-ce que c'est réparable? J'ai pas l'impression que les données ont été effacées, j'arrive à les retrouver avec la fonction recherche.


    Où les retrouves-tu, par quelle fonction de recherche, sur l'ordinateur ou via l'historique d'IE justement ?

    ---------

    Citation :
    Et est-ce que tu me conseillerai de réinstaller NOD 32 ou de rester sur Avast?


    L'antivirus n'est pas en cause ici, mais bien le faite que tu n'es pas tenu à jour les plugin de ce pc, et cela, aucun antivirus ne t'en protégera
    Donc, c'est à toi de voir pour le choix de l'antivirus.

    ---------------

    Citation :
    Est-ce qu'un pare feu + antivirus est suffisant comme protection?

    Oui, plus quelques règles que je vais te rappeler :

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !

    -------------------

    Citation :
    Et je sais pas trop comment te remercier?! Si t'as un compte paypal je peux te faire un petit virement si tu veux, ça sera de bon coeur (et bien mériter!)


    Nous sommes bénévoles ici ;) 
    Notre récompense est de savoir que tu ne reviendras pas nous voir pour le même genre de problème et que tu partagera les conseils de préventions autour de toi ;) 

    Si vraiment tu veux offrir un don, tu as la possibilité de soutenir le forum de formation des Helpers, ici :
    http://forum.security-x.fr/treasury/

    Mais ce n'est en rien une obligation.

    :jap: 
    m
    0
    l
    6 Avril 2013 18:18:55

    hyunkel30 a dit :
    Re,

    Très bien, je réponds à tes questions alors :

    Citation :
    J'arrive plus à développer mon historique sous Internet Explorer, est-ce que c'est réparable? J'ai pas l'impression que les données ont été effacées, j'arrive à les retrouver avec la fonction recherche.


    Où les retrouves-tu, par quelle fonction de recherche, sur l'ordinateur ou via l'historique d'IE justement ?

    :jap: 


    Dans le navigateur même "Historique" puis "Chercher dans historique", à côté de Flux et Favoris.

    Sinon c'est sûr, je ferai plus attention à l'avenir notamment dans les mises à jour de java et Adobe que je faisais pas du tout. :/ 



    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    6 Avril 2013 18:29:22

    Re,

    En passant concernant Java, si tu n'en a pas l'utilité, tu peux carrément le désinstaller ;) 
    Ou tout du moins désactiver les plugins dans les navigateurs, et les réactiver seulement en cas d'utilisation :
    http://forum.security-x.fr/securite-generale/info-faill...

    Citation :
    Dans le navigateur même "Historique" puis "Chercher dans historique", à côté de Flux et Favoris.


    Re, ok, par contre si tu laisse le tri par date, et que tu déplies, y'a rien c'est ça ?

    Sauvegarde tes Favori (c'est expliqué dans le lien au besoin), puis réinitialise Internet Explorer pour voir :
    http://windows.microsoft.com/fr-fr/windows7/reset-inter...
    m
    0
    l
    6 Avril 2013 18:40:18

    Je vois pas trop l'utilité de Java mais je vais quand même le laisser pour le moment!

    Pour l'historique, les dates sont bien affichées, c'est juste que quand je clique sur développer sur des dates antérieurs à ces 5 derniers jours, ça s'ouvre pas.
    m
    0
    l
    6 Avril 2013 18:59:33

    Il se remplit normalement en fait depuis qu'une nouvelle version de IE s'est installé, c'est juste que quand je clique sur les semaines/jours ANTÉRIEURS à cette installation j'arrive plus à développer les "Il y a une semaine", "Il y a 2 semaines" ect.

    J'espère que c'est plus clair là! Mais laisse tomber, c'est pas bien grave. ;) 
    m
    0
    l
    a c 612 8 Sécurité
    a b 9 Windows
    6 Avril 2013 19:26:12

    Re,

    Ah depuis l'installation de IE 10 ? Probablement qu'il a vidé l'historique à l'installation donc.
    Mais si les date apparaisse, c'est étrange qu'il n'y ai rien dessous ...
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS