Votre question

Virus ad[Résolu]

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
1 Mars 2011 20:29:01

Bonjour,
j'ai un virus depuis quelques heures qui me collent des pub précédées de ad devant, une toutes les 3 minutes. 3 scans d'avaast n'y font rien, je ne sais plus que faire

quelqu'un peut il m'aider?

Autres pages sur : virus resolu

1 Mars 2011 20:51:13

Le virus n'arrete pas, je n'y connais pas grand chose et je suis perdu...

Help please !!
1 Mars 2011 21:26:42

Bonsoir

Télécharge DDS et sauvegarde-le sur ton bureau.
  • Désactive tout script bloquant, tels qu'un antivirus, un logiciel comme ad-block, noscript etc.
  • Double-clique sur dds.scr pour lancer l'outil.
  • Une fois le scan fini, un document texte, DDS.txt, va s'ouvrir .
  • Clique Oui à la prochaine invite Optional Scan.
  • Sauvegarde les deux rapports sur ton bureau et poste-moi uniquement le DDS.txt.
    Contenus similaires
    1 Mars 2011 21:31:26

    Merci de ton aide voici le rapport :


    DDS (Ver_10-12-12.02) - NTFSx86
    Run by PC at 21:29:24,03 on 01/03/2011
    Internet Explorer: 6.0.2900.5512 BrowserJavaVersion: 1.6.0_23
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1575 [GMT 1:00]

    AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

    ============== Running Processes ===============

    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost -k DcomLaunch
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k yksvcs
    C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    C:\Program Files\Alwil Software\Avast5\avastUI.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\PnkBstrB.exe
    C:\WINDOWS\system32\svchost.exe -k imgsvc
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Documents and Settings\PC\Mes documents\Téléchargements\dds.scr

    ============== Pseudo HJT Report ===============

    uWindow Title =
    BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
    BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
    mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
    mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
    mRun: [nwiz] c:\program files\nvidia corporation\nview\nwiz.exe /installquiet
    mRun: [RTHDCPL] RTHDCPL.EXE
    mRun: [SunJavaUpdateSched] "c:\program files\fichiers communs\java\java update\jusched.exe"
    mRun: [avast5] "c:\program files\alwil software\avast5\avastUI.exe" /nogui
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    IE: {725EC34E-943C-4df6-B0B2-FBDE7F242276} - c:\program files\partyfrance\partypokerfr\RunApp.exe
    IE: {90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\pokerstars.fr\PokerStarsUpdate.exe
    IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
    DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
    DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
    DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
    DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    ================= FIREFOX ===================

    FF - ProfilePath - c:\docume~1\pc\applic~1\mozilla\firefox\profiles\61x2svk9.default\
    FF - prefs.js: browser.startup.homepage - www.google.com
    FF - plugin: c:\program files\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll
    FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll
    FF - plugin: c:\program files\mozilla firefox\plugins\npclntax_ClickPotatoLiteSA.dll
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
    FF - Ext: Illimitux: illimitux@illimitux.net - %profile%\extensions\illimitux@illimitux.net
    FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\java\jre6\lib\deploy\jqs\ff

    ============= SERVICES / DRIVERS ===============

    R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2011-3-1 28552]
    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2011-2-5 293968]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2011-2-5 17744]
    R2 avast! Antivirus;avast! Antivirus;c:\program files\alwil software\avast5\AvastSvc.exe [2011-2-5 40384]
    R2 yksvc;Marvell Yukon Service;c:\windows\system32\svchost.exe -k yksvcs [2008-4-14 14336]
    R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-3-1 38224]
    S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2010-11-28 1691480]
    S3 SkLaggProtocol;Marvell Link Aggregation Protocol;c:\windows\system32\drivers\yk51x86l.sys [2009-9-22 60928]
    S3 SkVlanProtocol;Marvell VLAN Protocol;c:\windows\system32\drivers\yk51x86v.sys [2009-8-27 20992]

    =============== Created Last 30 ================

    2011-03-01 20:15:05 -------- d-----w- c:\docume~1\pc\applic~1\Malwarebytes
    2011-03-01 20:14:58 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2011-03-01 20:14:57 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2011-03-01 20:14:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2011-03-01 20:14:57 -------- d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes
    2011-03-01 20:08:01 -------- d-----w- c:\program files\Ad-Remover
    2011-03-01 18:24:03 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
    2011-03-01 18:23:40 -------- d-----w- c:\program files\Panda Security
    2011-03-01 18:10:15 -------- d-----w- c:\program files\CCleaner
    2011-03-01 18:08:31 -------- d-----w- c:\docume~1\pc\locals~1\applic~1\Temp
    2011-03-01 18:07:41 -------- d-----w- c:\docume~1\pc\locals~1\applic~1\Google
    2011-03-01 17:02:11 -------- d-----w- C:\Downloads
    2011-03-01 17:01:50 -------- d-----w- c:\docume~1\pc\applic~1\BitComet
    2011-03-01 10:09:21 -------- d-----w- c:\program files\Poker Score
    2011-02-05 14:39:07 38848 ----a-w- c:\windows\avastSS.scr

    ==================== Find3M ====================

    2011-01-28 20:26:31 214864 ----a-w- c:\windows\system32\PnkBstrB.xtr
    2011-01-28 20:26:31 214864 ----a-w- c:\windows\system32\PnkBstrB.exe

    ============= FINISH: 21:30:29,45 ===============
    1 Mars 2011 21:34:59

    En fait j'ai un fichier que je ne peux effacer dans cookies, il s'apelle index, et c'est ici que pleins de fichiers apparaissent sans cesse... malwarebytes me dit que tout va bien, avaast aussi, par contre ccleaner trouve 600 fichiers IE temporaires toutes les minutes tandis que je suis sur mozilla....
    :p 
    1 Mars 2011 21:36:39

    Et voici un rapport de AD remover si cela peut t'aider

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 21:35:47 le 01/03/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    PC@RENAUD ( )

    ============== RECHERCHE ==============





    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.13 (fr)] ****

    Plugins\npBitCometAgent.dll (BitComet)
    HKLM_MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf (x)

    -- C:\Documents and Settings\PC\Application Data\Mozilla\FireFox\Profiles\61x2svk9.default --
    Extensions\illimitux@illimitux.net (Illimitux)
    Prefs.js - browser.startup.homepage, www.google.com
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================

    **** Internet Explorer Version [6.0.2900.5512] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
    HKLM_Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276} - "PartyPoker.fr" (C:\Program Files\PartyFrance\PartyPokerFr\images\ppicon.ico)
    HKLM_Extensions\{90EAE591-7E7E-434a-8E28-ECFD00071806} - "PokerStars.fr" (C:\Program Files\PokerStars.FR\main.ico)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 01/03/2011 21:09:46 (2846 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 01/03/2011 21:08:16 (2838 Octet(s))
    C:\Ad-Report-SCAN[2].txt - 01/03/2011 21:35:50 (423 Octet(s))

    Fin à: 21:36:04, 01/03/2011

    ============== E.O.F ==============
    1 Mars 2011 21:37:54

    re
    supprime
    c:\program files\mozilla firefox\plugins\npclntax_ClickPotatoLiteSA.dll

    poste les rapports :
    C:\Ad-Report-CLEAN.log.
    Malwarebytes' Anti-Malware
    1 Mars 2011 21:44:59

    Je n'ai pas le fichier que tu veux que je supprime mais npnul32.dll, npdeplyJava1.dll, npBitcometagent.dll

    AD report :
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 01/03/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:09:45 le 01/03/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    PC@RENAUD ( )

    ============== ACTION(S) ==============



    (!) -- Fichiers temporaires supprimés.


    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\win palace euro casino french
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}

    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.13 (fr)] ****

    Plugins\npBitCometAgent.dll (BitComet)
    HKLM_MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf (x)

    -- C:\Documents and Settings\PC\Application Data\Mozilla\FireFox\Profiles\61x2svk9.default --
    Extensions\illimitux@illimitux.net (Illimitux)
    Prefs.js - browser.startup.homepage, www.google.com
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================

    **** Internet Explorer Version [6.0.2900.5512] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
    HKLM_Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276} - "PartyPoker.fr" (C:\Program Files\PartyFrance\PartyPokerFr\images\ppicon.ico)
    HKLM_Extensions\{90EAE591-7E7E-434a-8E28-ECFD00071806} - "PokerStars.fr" (C:\Program Files\PokerStars.FR\main.ico)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 01/03/2011 21:09:46 (1393 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 01/03/2011 21:08:16 (2838 Octet(s))

    Fin à: 21:10:08, 01/03/2011

    ============== E.O.F ==============


    Malware :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 5920

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    01/03/2011 21:33:30
    mbam-log-2011-03-01 (21-33-30).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 144405
    Temps écoulé: 6 minute(s), 45 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)


    Merci a toi !
    1 Mars 2011 22:01:13

    re
    et tu as toujours ces pubs ou pas?
    vire tes trucs de casino; ça pue... :o 



  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    ctfmon.exe
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    1 Mars 2011 22:37:58

    Non je n'ai plus les pubs...mais j'ai toujours "index" dans les cookies et qui ne veut s'effacer... :fou: 

    Les trucs de casino c'est poker tu veux dire?

    1 Mars 2011 22:41:09

    Pardon, c'est extra qui n'est pas apparu, donc j'ai toujours ce index et quand je click dessus il me dit fichier .dat utilisé par le systeme d'exploitation, risque d'endommager... je n'ai plus les pubs mais je ne sais si je sui sorti d'affaire...
    2 Mars 2011 11:03:21

    Bonjour
    arrête de te prendre le chou avec tes cookies... c'est normal :o 

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    O9 - Extra Button: PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - File not found
    O9 - Extra 'Tools' menuitem : PartyPoker.fr - {725EC34E-943C-4df6-B0B2-FBDE7F242276} - File not found
    @Alternate Data Stream - 1126 bytes -> C:\Documents and Settings\All Users\Application Data\Microsoft:crpenCikCC1T1AGyxafCW
    @Alternate Data Stream - 1028 bytes -> C:\Documents and Settings\All Users\Application Data\Microsoft:LTw8hjSwUYjB7yx9tPRTKo

    :reg
    [HKEY_CURRENT_USER\Control Panel\Desktop]
    "MenuShowDelay"="100"
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
    "AlwaysUnloadDll"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000ff
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
    "NoDriveTypeAutoRun"=dword:000000ff
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
    "link"=hex:00,00,00,00
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
    "EnableBalloonTips"=dword:00000000
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
    "IconStreams"=-
    "PastIconsStream"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
    "SetCommand"=dword:00000001
    "SecurityLevel"=dword:00000001
    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.


    +++++++++++++++++++

    pour ça:
    Citation :
    En revanche, je fais des scans avec Malwarebytes qui trouvent de nouveau fichiers infectés a chaque fois, ayant pour origine C:/restore....

    on purgera la restauration en fin de désinfection. c'est rien du tout, le virus est dans la restauration de windows, il est inoffensif, sauf si tu fais une restauration de ton pc à la date de l'infection.
    2 Mars 2011 11:29:24

    Bonjour bonjour !

    Merci de ton aide !
    J'ai fait ce que tu m'a dit mais je n'ai aucun rapport apres le redemarrage.... snif !!!
    2 Mars 2011 12:05:51

    Au final j'ai trouvé cela

    All processes killed
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{725EC34E-943C-4df6-B0B2-FBDE7F242276}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{725EC34E-943C-4df6-B0B2-FBDE7F242276}\ not found.
    ADS C:\Documents and Settings\All Users\Application Data\Microsoft:crpenCikCC1T1AGyxafCW deleted successfully.
    ADS C:\Documents and Settings\All Users\Application Data\Microsoft:LTw8hjSwUYjB7yx9tPRTKo deleted successfully.
    ========== REGISTRY ==========
    HKEY_CURRENT_USER\Control Panel\Desktop\\"MenuShowDelay"|"100" /E : value set successfully!
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\\"AlwaysUnloadDll"|dword:00000001 /E : value set successfully!
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\"NoDriveTypeAutoRun"|dword:000000ff /E : value set successfully!
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoDriveTypeAutoRun"|dword:000000ff /E : value set successfully!
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\\"link"|hex:00,00,00,00 /E : value set successfully!
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"EnableBalloonTips"|dword:00000000 /E : value set successfully!
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\IconStreams deleted successfully.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\PastIconsStream deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\\"SetCommand"|dword:00000001 /E : value set successfully!
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\\"SecurityLevel"|dword:00000001 /E : value set successfully!
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 56502 bytes

    User: LocalService
    ->Temp folder emptied: 65984 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 402 bytes

    User: PC
    ->Temp folder emptied: 52960819 bytes
    ->Temporary Internet Files folder emptied: 32835 bytes
    ->Java cache emptied: 199906 bytes
    ->FireFox cache emptied: 49560119 bytes
    ->Flash cache emptied: 58333 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2351795 bytes
    %systemroot%\System32 .tmp files removed: 16824499 bytes
    %systemroot%\System32\dllcache .tmp files removed: 17845456 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 16384 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 1530 bytes

    Total Files Cleaned = 134,00 mb


    Cela te dit quelque chose??

    Merci encore
    2 Mars 2011 15:27:58

    re
    c'est bon, tu n'es plus infecté.

    ~Désactive puis réactive la restauration en suivant ce tuto:
    http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...
    Il faudra désactiver la restauration, redémarrer l'ordinateur et réactiver aussitôt la restauration.





    Supprime/Désinstalle tous les programmes utilisés pour la désinfection.
    (mais garde Malwarebytes' Anti-Malware pour faire des scan réguliers (en n'omettant pas de le mettre à jour)

    Merci de consulter ce dossier (en pdf) pour en connaître davantage sur les risques du Net.



    Si tu trouves ce document intéressant, n'hésite pas à le transmettre à tes contacts.

    Si tu en as assez d'être assailli de publicités durant ta navigation, installe Firefox sécurisé avec les extensions noscript et AdBlock Plus.

    Lire aussi:
  • Antispyware gratuit : ça sert à rien!


    ~Clique, sur ton premier message, sur le bouton "Editer" et marque [résolu] dans le titre.

    Clique ensuite sur "Valider votre message"

    Si ton nom de session correspond à ton véritable nom, tu as la possibilité de le changer en éditant tes posts.

    :hello: 

    +++
    5 Mars 2011 11:10:22

    Merci beaucoup pour ton aide précieuse, au plaisir !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS