Se connecter / S'enregistrer
Votre question

Virus ou autres antivirus suite

Tags :
  • Internet Explorer
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Avril 2010 21:25:25

bonjour a tous , voila le PC de mon neveu est affecté par un virus ou trojan voir autres saletèes de la part de (antivirus suite )
cela se traduit par des fenêtres intempetives a répètitions , impossible d'instaler Malwarbytes ou autres logiciels de se genre
toutefois j'ai réussi a faire un rapport hijackhis si vous pouvez éclairer ma lanterne .
je vous remercies part avance et excusé moi pour mon orthographe qui n'est pas terrible .
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:08, on 11/04/2010
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16890)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Hp\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Users\PROPRI~1\AppData\Local\Temp\Jvj.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
C:\Program Files\Valve\Steam\Steam.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\rundll32.exe
c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Users\Proprietaire\AppData\Local\fmigkxubr\mekvnpntssd.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\conime.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.gdark.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=h...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&loca...
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fr.gdark.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.gdark.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: PCCBHO.CPCCBHO - {22FC6CE8-7D47-479F-B74A-BFBB04ADB9AF} - C:\Program Files\Winferno\PC Confidential\PCCBHO.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Canaveral] rundll32.exe C:\Users\PROPRI~1\AppData\Local\Temp\sshnas21.dll,BackupReadW
O4 - HKCU\..\Run: [YVIBBBHA8C] C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe
O4 - HKCU\..\Run: [hqaqbwkb] C:\Users\Proprietaire\AppData\Local\fmigkxubr\mekvnpntssd.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Program Files\AOL\AOL Toolbar 5.0\aoltb.dll
O9 - Extra button: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} - (no file)
O9 - Extra button: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} - (no file)
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - C:\Program Files\Winferno\PC Confidential\PCConfidential.exe
O9 - Extra 'Tools' menuitem: PC Confidential - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - C:\Program Files\Winferno\PC Confidential\PCConfidential.exe
O9 - Extra button: PC Confidential - {925DAB62-F9AC-4221-806A-057BFB1014AA} - C:\Program Files\Winferno\PC Confidential\PCConfidential.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - c:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Com4Qlb - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\Com4Qlb.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - c:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 11983 bytes

Autres pages sur : virus antivirus suite

11 Avril 2010 21:50:51

Hello,



plusieurs infections sérieuses et un systeme pas à jour ( donc tout ceci n'est pas étonnant )



Sûr que Norton est obsolette .... Il paye une licence chez Norton ? ... les mises à jours de Norton sont-elles faites ? ...



/!\ Pour le bon déroulement de la désinfection :
  • Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
  • N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
  • Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
  • Si tu as un quelconque problème, n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    =============================================================



    Il me faut un Diagnostique plus précis du PC .... fais ceci dans un premier temps :


    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> http://telechargement.zebulon.fr/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

  • Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" ( afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ).

  • A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement .

  • Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite ( celui avec le tournevis ) :

    Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

  • clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

  • Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    > Laisses travailler l'outil ... ( cela peut-être relativement long )

  • Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...
    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)


    Puis ferme le programme ...


    > Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/

  • Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
  • Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
  • Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....
    12 Avril 2010 10:41:03

    bonjour j'ai un petit probleme j'ai bien telechargé ZHPDiag d'un autre PC j'ai réussi
    a le mettre sur le bureau de l'ordi infecté mais impossible de l'ouvrir car il m'ouvre des fenêtres a tout vent tout vas . sur le pc infecté il est casi impossible de faire quoi que soit il ouvre sans arrêt des pages internet sans rien puisque j'ai coupé la connection . A tu une solution pour que je puisse bloquer tout sa pour pouvoir attaquer la premiere étape que tu ma demandé .
    merci
    Contenus similaires
    12 Avril 2010 10:56:07

    salut,


    renomme le set-up de l'outil :

    ZHPdiag.exe en ZHPDiag.com pour voir .... dis moi si tu arrives à l'installer ....
    12 Avril 2010 11:40:53

    J'ai arrêté le pc et a la mise en route j'ai reussi a l'installer donc la il tourne . es-ce-que sa pose problème sur le fait que les pages intempestives s'ouvres pendant
    qu'il scan
    12 Avril 2010 11:50:54

    laisse le tourner et ferme les pages si possibles ....


    poste moi le rapport obtenu via "Cijoint" comme demandé ....


    12 Avril 2010 12:04:31

    j'ai bien l'impression qu'il reste bloquer sur le 058 - SDL cela fait un petit momment que je l'observe et sa n'avance plus
    12 Avril 2010 12:16:47

    cela fait au moins 20 minutes qu'il reste bloquer sur 058-SDL
    12 Avril 2010 12:24:35

    re,


    il a du planter effectivement ...


    recommence ... et fait bien clique droit / "executer en tant qu'admin..." pour le lancer .
    12 Avril 2010 12:57:52

    security warning m'empeche de l'ouvrir de nouveau même en changent le exe en com
    12 Avril 2010 13:18:10

    j'ai reussi a le remettre en routr comme tout a l'heure mais il bloc de nouveau mais au 064-Services:CurCS . je recommence de nouveau
    12 Avril 2010 13:28:55

    voila se qu'il est écris ZHPDiag Impossible d'ouvrir le fichier ''C:p rogramFiles\ZHP\ZHPADSReport.txt''.le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus
    12 Avril 2010 13:46:21

    re,


    ce n'est pas ce rapport qu'il me faut ... c'est celui que tu as sauvegardé en appuyant sur le bouton "disquette" lorsque le scan c'est achevé ...


    Si tu ne l'as pas sauvegardé de toi même , le rapport ZHPDiag.txt ( et pas ZHPADSReport.txt ) est sauvegardé automatiquement dans ce dossier > C:\Program files\ZHPDiag)



    12 Avril 2010 16:00:28

    bien .....



    on va faire avec pour le moment ....



    dans l'ordre :



    1- Utilisation de l'outil ZHPFix :

    * Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


    [MD5.98DD6C33745C93F49D3371FE1344E17C] - (.Pas de propriétaire - Pas de description.) -- C:\Users\PROPRI~1\AppData\Local\Temp\sshnas21.dll [215552]
    [MD5.57E0DB31AD87209F377CF62E83E8FC0E] - (.Pas de propriétaire - Pas de description.) -- C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe [175104]
    [MD5.064BE2C4BA528E40598187BC3DC68ED4] - (.UAxOfx - YxYpqC.) -- C:\Users\Proprietaire\AppData\Local\fmigkxubr\mekvnpntssd.exe [270080]
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
    O4 - HKCU\..\Run: [Canaveral] . (.Pas de propriétaire - Pas de description.) -- C:\Users\PROPRI~1\AppData\Local\Temp\sshnas21.dll
    O4 - HKCU\..\Run: [YVIBBBHA8C] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe
    O4 - HKCU\..\Run: [hqaqbwkb] . (.UAxOfx - YxYpqC.) -- C:\Users\Proprietaire\AppData\Local\fmigkxubr\mekvnpntssd.exe
    O9 - Extra 'Tools' menuitem: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} . (.not file.) - C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll
    O9 - Extra 'Tools' menuitem: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} . (.not file.) - C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
    O43 - CFD:Common File Directory ----D- C:\Program Files\Freeze.com
    O43 - CFD:Common File Directory ----D- C:\Program Files\Smart-Shopper
    O43 - CFD:Common File Directory ----D- C:\Users\Proprietaire\AppData\Local\fmigkxubr




    > Puis Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .


    -> laisse travailler l'outil et ne touche à rien ...


    Une fois terminée , un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )


    Important : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le de suite !


    Pense à réactiver tes défenses une fois la procédure terminée !...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    ============================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    12 Avril 2010 16:30:05

    j'ai un petit souci quand je clic sur nettoyer .il m'affiche directement ceci Impossible
    de créer le fichier''C\ProgramFiles\ZHPDiag\ZHPFixQuarantine.txt''.Accès refusé
    12 Avril 2010 16:39:43

    Arf ...


    peut-être que cela vient de l'UAC .



    fait ceci avant :

    protocole à suivre pour Windows Vista :

  • Désactiver le "contrôle des comptes utilisateurs" ou UAC (le réactiver seulement à la fin de la désinfection) :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    --->Redémarrer le PC !

    Tutos :
    http://pagesperso-orange.fr/NosTools/uac_vista.html
    http://forum.malekal.com/viewtopic.php?f=59&t=6517


  • Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...


    une fois ceci fait et pris en compte , refait la manipe de ZHPFix en faisant bien clique droit / "executer en tant qu'admin..." pour lancer l'outil ...

    12 Avril 2010 16:59:31

    voila sa a du fonctionner je n'ai déja plus les fenêtres intempestives voila le premier rappaort je passe a l'étape suivant.
    ZHPFix v1.12.3085 by Nicolas Coolman - Rapport de suppression du 12/04/2010 16:52:33
    Fichier Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...


    Processus mémoire :
    C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe [175104] => Fichier supprimé au reboot
    C:\Users\Proprietaire\AppData\Local\fmigkxubr\mekvnpntssd.exe [270080] => Supprimé et mis en quarantaine

    Module mémoire :
    C:\Users\PROPRI~1\AppData\Local\Temp\sshnas21.dll [215552] => Supprimé et mis en quarantaine

    Clé du Registre :
    O9 - Extra 'Tools' menuitem: SmartShopper - Compare product prices - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEBF} . (.not file.) - C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll => Clé absente
    O9 - Extra 'Tools' menuitem: SmartShopper - Compare travel rates - {3CC3D8FE-F0E0-4dd1-A69A-8C56BCC7BEC0} . (.not file.) - C:\Program Files\Smart-Shopper\Bin\2.5.1\Smrt-Shpr.dll => Clé absente

    Valeur du Registre :
    O4 - HKCU\..\Run: [Canaveral] . (.Pas de propriétaire - Pas de description.) -- C:\Users\PROPRI~1\AppData\Local\Temp\sshnas21.dll => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [YVIBBBHA8C] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe => Valeur supprimée avec succès
    O4 - HKCU\..\Run: [hqaqbwkb] . (.UAxOfx - YxYpqC.) -- C:\Users\Proprietaire\AppData\Local\fmigkxubr\mekvnpntssd.exe => Valeur supprimée avec succès

    Elément de données du Registre :
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 => Donnée supprimée avec succès

    Dossier :
    C:\Program Files\Freeze.com => Supprimé et mis en quarantaine
    C:\Program Files\Smart-Shopper => Supprimé et mis en quarantaine
    C:\Users\Proprietaire\AppData\Local\fmigkxubr => Supprimé et mis en quarantaine

    Fichier :
    c:\users\propri~1\appdata\local\temp\sshnas21.dll => Fichier absent
    c:\users\proprietaire\appdata\local\temp\jvh.exe => Fichier supprimé au reboot
    c:\users\proprietaire\appdata\local\fmigkxubr\mekvnpntssd.exe => Fichier absent
    c:\program files\smart-shopper\bin\2.5.1\smrt-shpr.dll => Fichier absent
    c:\windows\tasks\{66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job => Supprimé et mis en quarantaine

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Autre :
    (Néant)


    Récapitulatif :
    Processus mémoire : 2
    Module mémoire : 1
    Clé du Registre : 2
    Valeur du Registre : 3
    Elément de données du Registre : 1
    Dossier : 3
    Fichier : 5
    Logiciel : 0
    Autre : 0


    End of the scan
    12 Avril 2010 17:25:56

    Bien ....




    la suite donc :


    1- Télécharge CCleaner :
    ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


    ---> Utilisation :
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


    =============================

    2- On va pouvoir utiliser Malwarebytes ainsi :


    mets le à jour ! ( onglet "mise à jour" de Malwarebytes ).


    * Potasse ce tuto pour te familiariser avec le prg :
    http://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance 'Malwarebytes' .

    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    ====================================

    3- Refais un scan ZHPDiag ( "en tant qu'admin..." ).

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    13 Avril 2010 08:01:58

    Bonjour voila le rapport Malwarebytes
    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3930

    Windows 6.0.6000
    Internet Explorer 7.0.6000.16890

    13/04/2010 07:52:45
    mbam-log-2010-04-13 (07-52-45).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 100566
    Temps écoulé: 6 minute(s), 42 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 26
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 2
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\Typelib\{022c671f-6cba-4a03-a8f9-3b3a361b235a} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Typelib\{8ad815fc-607b-419f-8b70-d345a507a54e} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wyeke (Adware.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\Software\Wyeke (Adware.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Shopper (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Smart-Shopper (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.hbax (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.hbax.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.hbinfoband (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.hbinfoband.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.iebutton (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.iebutton.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.iebuttona (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.iebuttona.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.iebuttonb (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.iebuttonb.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.smrt-shprctrl (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\smart-shopper.smrt-shprctrl.1 (Adware.SmartShopper) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper (Adware.SmartShopper) -> Quarantined and deleted successfully.
    C:\Program Files\Wyeke (Adware.Agent) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\SmartShopper - Comapre product prices.lnk (Adware.SmartShopper) -> Quarantined and deleted successfully.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\SmartShopper - Compare travel rate.lnk (Adware.SmartShopper) -> Quarantined and deleted successfully.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\SmartShopper Help.lnk (Adware.SmartShopper) -> Quarantined and deleted successfully.
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SmartShopper\Uninstall SmartShopper.lnk (Adware.SmartShopper) -> Quarantined and deleted successfully.
    C:\Program Files\Wyeke\uninstall.exe (Adware.Agent) -> Quarantined and deleted successfully.
    C:\Program Files\Wyeke\wyeke.exe (Adware.Agent) -> Quarantined and deleted successfully.
    C:\Users\Proprietaire\AppData\Local\Temp\Jvh.exe (Trojan.FakeAlert) -> Delete on reboot.
    C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    13 Avril 2010 08:15:04

    hello,


    Malwarebytes n'a pas été mis à jour avant de faire le scan !...



    donc recommence stp :



    1- Mets a jour Malwarebytes > onglet "mises à jour" ( recommence plusieurs fois jusqu'à ce qu'il ny est plus de disponible ! )


    ! Déconnecte toi et ferme toutes applications en cours !


    Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


    ==============================

    2- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFi...
    ou ici http://chiquitine.changelog.fr/UsbFix.exe

    ! Déconnecte toi d'internet et ferme toutes applications en cours !


    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

    # Choisis l' option 1 ( Recherche )

    # Laisse travailler l'outil et ne touche à rien pendant le scan .

    # Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

    Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note :
    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html


    13 Avril 2010 14:06:26

    désolé voila le rapport.
    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3983

    Windows 6.0.6000
    Internet Explorer 7.0.6000.16890

    13/04/2010 14:02:35
    mbam-log-2010-04-13 (14-02-35).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 102559
    Temps écoulé: 4 minute(s), 29 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    13 Avril 2010 14:11:48

    Vu...



    UsbFix maintenant ...
    13 Avril 2010 15:22:28

    voila

    ############################## | UsbFix V6.103 |

    User : Proprietaire (Administrateurs) # PC-DE-PROPRIETA
    Update on 12/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 14:12:34 | 13/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) Dual CPU T2370 @ 1.73GHz
    Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6000 32-bit) #
    Internet Explorer 7.0.6000.16890
    Windows Firewall Status : Disabled
    AV : Norton Internet Security 15.0.0.60 [ (!) Disabled | (!) Outdated ]
    FW : Norton Internet Security[ Enabled ]15.0.0.60

    C:\ -> Disque fixe local # 100,65 Go (38,97 Go free) # NTFS
    D:\ -> Disque fixe local # 11,14 Go (2,22 Go free) [PRESARIO_RP] # NTFS
    E:\ -> Disque CD-ROM # 554,43 Mo (0 Mo free) [Hitman2] # CDFS
    F:\ -> Disque amovible # 974,73 Mo (972,19 Mo free) [KINGSTON U3] # FAT
    G:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [KINGSTON U3] # CDFS
    H:\ -> Disque amovible # 124,47 Mo (123,11 Mo free) # FAT

    ################## | Elements infectieux |

    E:\autorun.inf
    E:\auto.exe
    E:\autorun.exe
    E:\autorun.ini
    F:\msvcr71.dll
    F:\Knight.exe
    G:\autorun.inf

    ################## | Registre |


    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\F
    shell\AutoRun\command =F:\wd_windows_tools\WDSetup.exe

    HKCU\..\..\Explorer\MountPoints2\G
    shell\AutoRun\command =G:\LaunchU3.exe

    HKCU\..\..\Explorer\MountPoints2\{29f4d454-6275-11de-94e2-001eec2df0d2}
    shell\AutoRun\command =F:\wd_windows_tools\WDSetup.exe

    HKCU\..\..\Explorer\MountPoints2\{3d401773-5ff8-11de-96a1-806e6f6e6963}
    shell\AutoRun\command =E:\Eautorun.exe

    HKCU\..\..\Explorer\MountPoints2\{4f93787d-4622-11df-8e1f-001eec2df0d2}
    shell\AutoRun\command =G:\LaunchU3.exe

    ################## | Vaccin |


    ################## | ! Fin du rapport # UsbFix V6.103 ! |

    13 Avril 2010 15:39:10

    re,



    vire les CD qui se trouvent dans tes lecteur stp !



    Puis fait la suite dans l'ordre :



    1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

    Impératif :
    Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .

    # Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

    # Cette fois ci , tu choisis l' option 2 ( Suppression ) .

    > Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

    # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

    # Une fois terminé, poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


    ( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

    /!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\


    ==============================

    2- Refais un scan ZHPDiag .

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    13 Avril 2010 16:05:11

    re voila le rapport Cijoint et UsbFix
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijKjxaK...

    ############################## | UsbFix V6.103 |

    User : Proprietaire (Administrateurs) # PC-DE-PROPRIETA
    Update on 12/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 15:45:14 | 13/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) Dual CPU T2370 @ 1.73GHz
    Microsoft® Windows Vista™ Édition Familiale Basique (6.0.6000 32-bit) #
    Internet Explorer 7.0.6000.16890
    Windows Firewall Status : Disabled
    AV : Norton Internet Security 15.0.0.60 [ (!) Disabled | (!) Outdated ]
    FW : Norton Internet Security[ Enabled ]15.0.0.60

    C:\ -> Disque fixe local # 100,65 Go (39,01 Go free) # NTFS
    D:\ -> Disque fixe local # 11,14 Go (2,22 Go free) [PRESARIO_RP] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible # 974,73 Mo (973,89 Mo free) [KINGSTON U3] # FAT
    G:\ -> Disque CD-ROM # 3,79 Mo (0 Mo free) [KINGSTON U3] # CDFS

    ################## | Elements infectieux |

    Supprimé ! C:\$Recycle.Bin\S-1-5-21-2711420003-3172864683-226646052-500
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-3255949102-1947559735-4175665703-1000
    Supprimé ! C:\$Recycle.Bin\S-1-5-21-3255949102-1947559735-4175665703-500
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-3255949102-1947559735-4175665703-1000
    Supprimé ! D:\$Recycle.Bin\S-1-5-21-3255949102-1947559735-4175665703-500
    Supprimé ! F:\msvcr71.dll
    Supprimé ! F:\Knight.exe
    (!) Non supprimé ! G:\autorun.inf

    ################## | Registre |


    ################## | Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\F\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\G\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{29f4d454-6275-11de-94e2-001eec2df0d2}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{4f93787d-4622-11df-8e1f-001eec2df0d2}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [19/11/2007 06:27|--a------|74] C:\autoexec.bat
    [02/11/2006 11:53|-rahs----|438840] C:\bootmgr
    [18/09/2006 23:43|--a------|10] C:\config.sys
    [?|?|?] C:\hiberfil.sys
    [19/11/2007 06:03|--ah-----|360] C:\IPH.PH
    [?|?|?] C:\pagefile.sys
    [13/04/2010 15:48|--a------|2155] C:\UsbFix.txt
    [12/04/2010 16:52|--a------|105166] C:\ZHPExportRegistry-12-04-2010-16-52-33.txt
    [11/09/2005 17:18|---hs----|340] D:\AUTOMODE
    [23/06/2009 15:24|---hs----|13] D:\BLOCK.RIN
    [04/10/2006 01:02|---hs----|438328] D:\bootmgr
    [06/09/2008 13:19|---hs----|891] D:\Desktop.ini
    [10/09/2002 18:14|---hs----|8134] D:\Folder.htt
    [23/06/2009 15:42|--ahs----|828] D:\MASTER.LOG
    [29/01/2007 19:59|---hs----|109342] D:\protect.chinese hong kong
    [29/01/2007 19:59|---hs----|109360] D:\protect.chinese simplified
    [29/01/2007 19:59|---hs----|109342] D:\protect.chinese traditional
    [14/02/2007 20:30|---hs----|111653] D:\protect.czech
    [29/01/2007 19:55|---hs----|109124] D:\protect.danish
    [29/01/2007 19:57|---hs----|109049] D:\protect.dutch
    [29/01/2007 19:55|---hs----|109092] D:\protect.ed
    [29/01/2007 19:55|---hs----|109092] D:\protect.english
    [29/01/2007 19:56|---hs----|109092] D:\protect.finnish
    [29/01/2007 19:56|---hs----|109060] D:\protect.french
    [29/01/2007 19:55|---hs----|109094] D:\protect.german
    [14/02/2007 20:38|---hs----|112541] D:\protect.greek
    [14/02/2007 20:40|---hs----|112375] D:\protect.hebrew
    [28/08/2007 16:57|---hs----|111475] D:\protect.hungarian
    [29/01/2007 19:56|---hs----|108979] D:\protect.italian
    [29/01/2007 19:57|---hs----|109795] D:\protect.japanese
    [29/01/2007 19:57|---hs----|109487] D:\protect.korean
    [14/02/2007 20:44|---hs----|111402] D:\protect.norwegian
    [14/02/2007 20:45|---hs----|111585] D:\protect.polish
    [14/02/2007 20:46|---hs----|111448] D:\protect.portuguese
    [14/02/2007 20:46|---hs----|111697] D:\protect.portuguese brazilian
    [29/01/2007 19:58|---hs----|163804] D:\protect.russian
    [29/01/2007 19:55|---hs----|109016] D:\protect.spanish
    [14/02/2007 20:48|---hs----|111445] D:\protect.swedish
    [14/02/2007 20:49|---hs----|111598] D:\protect.turkish
    [20/05/2008 19:01|---hs----|0] D:\USER
    [15/01/2008 13:44|---hs----|17920] F:\Thumbs.db
    [13/02/2006 21:14|-r-------|145] G:\autorun.inf
    [28/02/2006 17:07|-r-------|2999761] G:\LaunchPad.zip
    [13/02/2006 21:14|-r-------|921600] G:\LaunchU3.exe

    ################## | Vaccination |

    # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
    # F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

    ################## | Upload |

    Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-Proprieta.zip : http://chiquitine.changelog.fr/Sample/Upload.php
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.103 ! |

    13 Avril 2010 16:19:11

    Bien ....



    dis moi comment va le PC .... du mieux ?



    Puis fai ceci :


    1- Rends sur cette page :
    > http://chiquitine.changelog.fr/Sample/Upload.php

    * clique sur "parcourir" et va jusqu'au fichier C:\UsbFix_Upload_Me_PC-de-Proprieta.zip .

    * En dessous de "Sélectionnez l'outil que vous venez d'utiliser", choisis UsbFix .

    * puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

    * Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_PC-de-Proprieta.zip


    merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... :) 


    =============================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal, clique sur le bouton [Scanner] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    13 Avril 2010 16:42:19

    la il tourne bien pas de souci pour l'instant voila le rapport
    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 16:35:54 le 13/04/2010 | Mode normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows Vista™ HomeBasic - X86
    Nom du PC: PC-DE-PROPRIETA | Utilisateur actuel: Proprietaire (Administrateur)
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    C:\Program Files\Viewpoint
    C:\ProgramData\Viewpoint
    C:\ProgramData\Wyeke
    C:\Users\Proprietaire\AppData\LocalLow\Smart-Shopper
    .
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    HKLM\Software\Classes\Interface\{90F62EF7-58D1-4E8E-BB3E-CFB10BA9E47B}
    HKLM\Software\Classes\Interface\{B2B92BC9-E149-4EE8-A93E-0B8CFB329808}
    HKLM\Software\Freeze.com
    HKLM\Software\MetaStream
    HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    HKLM\Software\Viewpoint
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    .
    * Internet Explorer Version 7.0.6000.16890 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://fr.gdark.com
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://fr.gdark.com
    Show_ToolBar: yes
    Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=81&bd=Presario&pf=laptop
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search Page: hxxp://fr.gdark.com
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ============== SUSPECT(S) ==============
    .
    C:\Users\Proprietaire\Favorites\film streaming Serial noceurs.url
    C:\Users\Proprietaire\Favorites\YouTube - Eminem - Crack A Bottle.url
    .
    ========================================
    .
    C:\Users\PROPRI~1\AppData\Local\Temp: 124 Fichier(s), 103 Dossier(s)
    C:\Windows\temp: 5 Fichier(s), 0 Dossier(s)
    C:\Users\Proprietaire\AppData\Roaming\Microsoft\Windows\Cookies: 15 Fichier(s), 2 Dossier(s)
    Temporary Internet Files: 15 Fichier(s), 8 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 1 Fichier(s)
    .
    C:\Ad-Report-SCAN[1].txt - 3118 Octet(s)
    .
    Fin à: 16:38:34, 13/04/2010
    .
    ============== E.O.F - SCAN[1] ==============
    13 Avril 2010 17:05:39

    je doit aller au travail , Bonne fin de journée et merci encore pour ton aide et a demain pour la suite a donner.
    13 Avril 2010 17:38:32

    Re,



    la suite pour demain :



    1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


    • Clique droit / "executer en tant qu'admin...." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal clique cette fois sue le bouton [Nettoyer] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ============================

    2- Refais un scan ZHPDiag ( "en tant qu'admin..." ).

    * Coche bien toutes les options ( sauf les 045 et 061 )

    * Au niveau du bouton "calendrier" choisis > 30 days

    > poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    14 Avril 2010 11:33:12

    Bonjour , voila les deux rapports
    http://www.cijoint.fr/cjlink.php?file=cj201004/cij3Rvh3...
    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 07:20:14 le 14/04/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows Vista™ HomeBasic - X86
    Nom du PC: PC-DE-PROPRIETA | Utilisateur actuel: Proprietaire (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\Program Files\Viewpoint
    C:\ProgramData\Viewpoint
    C:\ProgramData\Wyeke
    C:\Users\Proprietaire\AppData\LocalLow\Smart-Shopper

    (!) -- Fichiers temporaires supprimés.
    .
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    HKLM\Software\Classes\Interface\{90F62EF7-58D1-4E8E-BB3E-CFB10BA9E47B}
    HKLM\Software\Classes\Interface\{B2B92BC9-E149-4EE8-A93E-0B8CFB329808}
    HKLM\Software\Freeze.com
    HKLM\Software\MetaStream
    HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    HKLM\Software\Viewpoint
    .
    (Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant)
    .
    ============== SCAN ADDITIONNEL ==============
    .
    .
    * Internet Explorer Version 7.0.6000.16890 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ============== SUSPECT(S) ==============
    .
    C:\Users\Proprietaire\Desktop\Patch.exe
    C:\Users\Proprietaire\Favorites\film streaming Serial noceurs.url
    C:\Users\Proprietaire\Favorites\YouTube - Eminem - Crack A Bottle.url
    .
    ========================================
    .
    C:\Users\PROPRI~1\AppData\Local\Temp: 4 Fichier(s), 103 Dossier(s)
    C:\Users\Proprietaire\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
    Temporary Internet Files: 2 Fichier(s), 8 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 39 Fichier(s)
    C:\Ad-Remover\Backup: 14 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 3348 Octet(s)
    C:\Ad-Report-SCAN[1].txt - 3242 Octet(s)
    .
    Fin à: 07:22:20, 14/04/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    14 Avril 2010 11:40:31

    hello,



    fait ceci maintenant :


    1- Rends toi sur ce site :

    http://www.virustotal.com/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    C:\Users\Proprietaire\Desktop\Patch.exe

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note .

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

    petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...



    =================================

    2- Télécharge gmer sur le bureau et dézippe-le (clic droit et "extraire ici") :

    http://www.gmer.net/gmer.zip

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( naviguateurs compris ) !!

    * Double-clique sur gmer.exe pour lancer l'outil.
    * Met toi bien sur l'onglet "rootkit", puis clique sur [scan] .
    * A la fin du scan, clique sur le bouton copy.
    * Puis va dans le menu "démarrer"> "programmes" > accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

    > poste le contenu du rapport stp ...
    14 Avril 2010 13:52:40

    voila le résultat de virustotal
    Fichier Patch.exe_ reçu le 2010.04.14 11:47:08 (UTC)
    Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


    Résultat: 16/40 (40%)
    en train de charger les informations du serveur...
    Votre fichier est dans la file d'attente, en position: 3.
    L'heure estimée de démarrage est entre 56 et 80 secondes.
    Ne fermez pas la fenêtre avant la fin de l'analyse.
    L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
    Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
    Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
    les résultats seront affichés au fur et à mesure de leur génération.
    Formaté Impression des résultats
    Votre fichier a expiré ou n'existe pas.
    Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

    Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
    Email:


    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.50 2010.04.14 Riskware.Keygen.BD!IK
    AhnLab-V3 5.0.0.2 2010.04.13 -
    AntiVir 7.10.6.75 2010.04.14 SPR/Tool.Keygen.BD
    Antiy-AVL 2.0.3.7 2010.04.14 -
    Authentium 5.2.0.5 2010.04.14 -
    Avast 4.8.1351.0 2010.04.14 -
    Avast5 5.0.332.0 2010.04.14 -
    AVG 9.0.0.787 2010.04.14 -
    BitDefender 7.2 2010.04.14 Application.Keygen.BD
    CAT-QuickHeal 10.00 2010.04.14 Trojan.Agent.ATV
    ClamAV 0.96.0.3-git 2010.04.14 -
    Comodo 4596 2010.04.14 ApplicUnsaf.Win32.CrackTool.Multi.~B
    DrWeb 5.0.2.03300 2010.04.14 -
    eSafe 7.0.17.0 2010.04.13 -
    eTrust-Vet 35.2.7425 2010.04.14 -
    F-Prot 4.5.1.85 2010.04.13 -
    F-Secure 9.0.15370.0 2010.04.14 Application.Keygen.BD
    Fortinet 4.0.14.0 2010.04.12 -
    GData 19 2010.04.14 Application.Keygen.BD
    Ikarus T3.1.1.80.0 2010.04.14 not-a-virus.Keygen.BD
    Jiangmin 13.0.900 2010.04.13 -
    Kaspersky 7.0.0.125 2010.04.14 -
    McAfee 5.400.0.1158 2010.04.14 Generic.dx!fnf
    McAfee-GW-Edition 6.8.5 2010.04.14 Riskware.Tool.Keygen.BD
    Microsoft 1.5605 2010.04.14 -
    NOD32 5027 2010.04.14 MSIL/HackAV.B
    Norman 6.04.11 2010.04.14 W32/FakeAV.HUY
    nProtect 2010-04-14.01 2010.04.14 Application.Keygen.BD
    Panda 10.0.2.7 2010.04.13 -
    PCTools 7.0.3.5 2010.04.14 -
    Prevx 3.0 2010.04.14 High Risk Worm
    Rising 22.43.02.04 2010.04.14 -
    Sophos 4.52.0 2010.04.14 -
    Sunbelt 6175 2010.04.14 Trojan.Win32.Generic!BT
    Symantec 20091.2.0.41 2010.04.14 -
    TheHacker 6.5.2.0.261 2010.04.14 -
    TrendMicro 9.120.0.1004 2010.04.14 -
    VBA32 3.12.12.4 2010.04.09 MSIL.HackAV.B
    ViRobot 2010.4.14.2276 2010.04.14 -
    VirusBuster 5.0.27.0 2010.04.13 -
    Information additionnelle
    File size: 55808 bytes
    MD5...: 471d59c822d102d40f202b70a5c4a88a
    SHA1..: 2f1d83a7dd442ed8b2c843725507e1fa4055c3eb
    SHA256: 1f2ec34e911c574f36f0093127c05454e5ccba538d7227f59784c3ec5a60bbda
    ssdeep: 768:JHlLSw9V5IdvHiDEejsNP2H0MyLPQKT6M5i4+BxxKWtNtJ/IUTH:p Rb5IxI3
    ANPOgLF5ivLI2H

    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x926e
    timedatestamp.....: 0x48b153ae (Sun Aug 24 12:27:26 2008)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x2000 0x7274 0x7400 5.56 1e2b724cdd0cbe8048d0b653dd76c645
    .sdata 0xa000 0x8a 0x200 2.04 9e40b408731dc8cdf2576f9d55074a9c
    .rsrc 0xc000 0x5d00 0x5e00 5.36 4e8728f34c27fa4e64fcd992e64ca575
    .reloc 0x12000 0xc 0x200 0.08 f3c2297964ffeedd5273ffbfabf816e7

    ( 1 imports )
    > mscoree.dll: _CorExeMain

    ( 0 exports )

    RDS...: NSRL Reference Data Set
    -
    pdfid.: -
    trid..: Generic CIL Executable (.NET, Mono, etc.) (72.5%)
    Windows Screen Saver (12.9%)
    Win32 Executable Generic (8.4%)
    Win16/32 Executable Delphi generic (2.0%)
    Generic Win/DOS Executable (1.9%)
    <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=8A5AB8FD...' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=8A5AB8FD...;/a>
    sigcheck:
    publisher....: Home
    copyright....: Copyright (c) Home 2008
    product......: WindowsApplication1
    description..: WindowsApplication1
    original name: BitDefender 2009 Year 2047.exe
    internal name: BitDefender 2009 Year 2047.exe
    file version.: 1.0.0.0
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned



    ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

    14 Avril 2010 14:20:47

    bien ...

    shoote ce patch et fait la suite .... ;) 
    14 Avril 2010 16:08:56

    un truc vient de s'afficher sur l'ecran en bas a droite gmer.exe-Fichier endommagé
    le fichier ou le répertoire C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ est endommagé et illisible. Exécutez l'utilitaire CHKDSK.
    je passe part mon pc le sien tourne toujours en scan Gmer
    14 Avril 2010 16:11:13

    re,


    Citation :
    je passe part mon pc le sien tourne toujours en scan Gmer



    laisse tourner le scan et poste moi le rapport une fois terminé .... on avisera ensuite ... ;) 
    14 Avril 2010 16:46:20

    je crois bien qu'il a merdé je suis pas sur tout du moins le scan c'est arrêté en bas plus rien ne tourne donc j'envoie le resultat .
    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-04-14 16:33:43
    Windows 6.0.6000
    Running: gmer.exe; Driver: C:\Users\PROPRI~1\AppData\Local\Temp\kxrdikog.sys


    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

    ---- Files - GMER 1.0.15 ----

    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\www-core-vfl158492[1].css 140942 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\www-core-vfl159171[1].js 161462 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\xamateurtube_com[1].jpg 14018 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\xcvfrwgsds.avi.flv.1_320x240[1].jpg 12223 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\xhamster6[1].js 7499 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\XMLHttpRequest[1].js 7165 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\yawporntube.com[1].jpg 23095 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\youmomtube.com[1].jpg 8247 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\youngxtube.com[1].jpg 14275 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\youtube[1].gif 1256 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\youtube_com[1].htm 89368 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\yummymature.com[1].jpg 19544 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\yummymummytube.com[1].jpg 7369 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\z9ewuJTnlihoSszU0QiEug[1].jpg 3887 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\_tube4807-new-whores-3.avi.flv.1_320x240[1].jpg 10581 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\hqtubevideos.com[1].jpg 41120 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\hRotator[1].css 688 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\httpErrorPagesScripts[1] 7579 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\HU[1].gif 196 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\hw8.wmv.flv.1_240x180[1].jpg 5264 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ico_star_5[1].gif 894 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ilm_bckgr[1].jpg 1064 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\images_03[1].jpg 13106 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\images_04[1].jpg 11831 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\images_06[1].jpg 10539 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\images_07[1].gif 8664 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\prohijutnm61.flv.flv.1_240x180[1].jpg 8402 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Raped-Scream-And-Cream---2-White-Models-Taken-To-Black-Club-For-Gangbang.mpg.flv.1_320x240[1].jpg 13063 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_aug25_300x250_15[1].jpg 15138 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_aug25_300x250_16[1].jpg 14514 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_feb17_300x250_04[1].jpg 12023 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_feb2210_300x250_02[1].jpg 12519 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_feb2210_300x250_04[1].jpg 14976 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ra_jul1309_300x250_16[1].jpg 18320 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Real.Indian.Housewives---2.wmv.flv.1_240x180[1].jpg 6870 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Real.Indian.Housewives---3.wmv.flv.1_240x180[1].jpg 5595 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\reife.wiener.swingerstuten---2.wmv.flv.1_240x180[1].jpg 7413 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\related-bg[1].gif 162 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\related-sidebar-menu-bg[1].gif 1614 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\ca55c1bd9a3ef8295be5434a1e875797[1].gif 7545 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\carousel[1].swf 18957 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\categories_btn[1].gif 2958 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\cc29b82b937f776a590527a3e8acd163[1].gif 17607 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\cd9a879881bc074f0c7513f24771415a[1].swf 16514 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\check-24[1].gif 308 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\checkout[1].gif 1525 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\clickcontrl[1].js 2015 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\large_320x240[7].jpg 10389 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\layout[2].css 2949 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Lily-Thai-Bukkake--asian-japanese-japan-.avi.flv.1_320x240[1].jpg 10193 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\little--teen-sexy-teens-.avi.flv.1_240x180[1].jpg 7468 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\Little-girl-fucks-young-guy--sexy-amateur-young-teens-.avi.flv.1_240x180[1].jpg 7961 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\localsex_btn[1].gif 2689 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logo1414[1].gif 110 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logoPG_02[1].jpg 24659 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logo[1].gif 2775 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logo[1].jpg 5669 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\logo[1].png 9852 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\large_320x240[6].jpg 25323 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\matureinsperm.com[1].jpg 10256 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\mimage[5].jpg 8032 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\PriyaRaiWantsDick.wmv.flv.1_240x180[1].jpg 8647 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\r_apr0609_160x200_04[1].jpg 33688 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\signup_button_blue_m[1].gif 843 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\swingers[1].htm 215733 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\urchin[1].js 22678 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\wildmaturemoms.com[1].jpg 8307 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\skinny_ballerina.avi.flv.1_320x240[1].jpg 10326 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\SLHjnQxBYWkmNBbz1HMX3rw[1].jpg 6902 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\SLtSL35vKvm3pUGc1jnGXodQ[1].jpg 4905 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\sma8[1].js 4548 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\spacer[1].gif 43 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\spacer[2].gif 43 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\SprySlidingPanels[1].css 5001 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\sqysxbutwujsuew.wmv.flv.1_320x240[1].jpg 5896 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\SRMLU7BdA0vyBRhil70gjA[1].jpg 4464 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\starhalf[1].gif 216 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\streamsex.com[1].jpg 7966 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\style[1].css 947 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\st[1] 0 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\st[2] 4503 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\swap98.wmv.flv.1_320x240[1].jpg 10027 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bangwife2.wmv.flv.1_240x180[1].jpg 6286 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bangwife5.wmv.flv.1_240x180[1].jpg 8432 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bangwife77.wmv.flv.1_240x180[1].jpg 7951 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\banni_re-porte-cl_s-468x60-10[1].swf 85779 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\baraca1.wmv.flv.1_320x240[1].jpg 15127 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bar[1].jpg 5177 bytes
    File C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ\bb4092-42.wmv01[1].jpg 4490 bytes

    ---- EOF - GMER 1.0.15 ----
    14 Avril 2010 16:51:54

    bon ....



    fait ceci stp :


    Télécharge OTM (de Old_Timer) sur ton bureau :

    http://oldtimer.geekstogo.com/OTM.exe


    Double clique sur "OTM.exe" pour ouvrir le prg .

    Puis copie ce qui se trouve en citation ci-dessous,


    :Commands
    [purity]
    [emptytemp]
    [Reboot]



    et colle le dans le cadre de gauche de OTM (Paste Instructions for items to be moved ).
    Ne touche à rien d'autre !

    ! Déconnecte toi et ferme toutes tes applications en cours ( navigateurs compris ) !

    -> clique sur MoveIt! pour lancer le nettoyage .

    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    --> Poste le contenu du rapport qui se trouve dans le dossier " C:\_OTM\MovedFiles "
    ( c'est " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
    14 Avril 2010 17:02:41

    voila le rapport
    All processes killed
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 41044 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Proprietaire
    ->Temp folder emptied: 22289569 bytes
    ->Temporary Internet Files folder emptied: 4192215 bytes
    ->Java cache emptied: 8465 bytes
    ->Flash cache emptied: 43554 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 6229876 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 8248 bytes
    %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 6027486 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 37,00 mb


    OTM by OldTimer - Version 3.1.10.1 log created on 04142010_165714

    Files moved on Reboot...

    Registry entries deleted on Reboot...
    14 Avril 2010 17:15:30

    je suis désolé je vais au travail donc pour aujourd'hui terminé je refait toutefois un scan avec gmer et je le posterai demain matin . bonne soirée et merci
    14 Avril 2010 18:02:20

    re,


    Citation :
    je suis désolé je vais au travail donc pour aujourd'hui terminé je refait toutefois un scan avec gmer et je le posterai demain matin



    pas de prb ... A demain avec ce nouveau rapport ....
    15 Avril 2010 07:48:55

    désolé le scan a encore bloqué il etait encore ecris ceci gmer.exe-Fichier endommagé
    le fichier ou le répertoire C:\Users\Proprietaire\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2Q7MTROJ est endommagé et illisible. Exécutez l'utilitaire CHKDSK.
    donc j'ai été obliger de forcé l'arret du pc et au demarrage il etait ecris ceci aussi
    vérification du systeme de fichiers sur C:
    le type du systéme de fichiers est NTFS
    l'integrité de l'un de vos disques doit être vérifiée.
    donc j'ai laissé faire et il est bloqué
    a 76% effectués. (243671 descripteurs sur 248128 traités )
    248128 descripteurs de sécurité traités.
    et plus moyen de faire quoi que ce soit .
    donc je vais forcé encore une fois l'arret du pc et refaire de nouveau un scan Gmer que je posterais si cela fonctionne
    15 Avril 2010 08:32:40

    salut,


    Citation :
    donc je vais forcé encore une fois l'arret du pc et refaire de nouveau un scan Gmer que je posterais si cela fonctionne



    non laisse tombé gmer !.... il ne fera rien de mieux ! ....


    dis moi , tu as ton CD Original de Windows ?





    fais ceci stp :


    Télécharge mbr.exe de Gmer :
    > http://www2.gmer.net/mbr/mbr.exe
    et enregistre le fichier sur le Bureau ( et pas ailleurs ).

    ! Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) !

    * Double clique sur mbr.exe
    > Un rapport sera généré : mbr.log
    poste le stp ...
    15 Avril 2010 12:46:06

    re,
    non malheureusement il n'a pas le CD original .
    il a beugué de nouveau et voila ce qu'il dit
    Signature du problème :
    Nom d’événement de problème: BlueScreen
    Version du système: 6.0.6000.2.0.0.768.2
    Identificateur de paramètres régionaux: 1036

    Informations supplémentaires sur le problème :
    BCCode: 50
    BCP1: B711C008
    BCP2: 00000000
    BCP3: B067653E
    BCP4: 00000000
    OS Version: 6_0_6000
    Service Pack: 0_0
    Product: 768_1

    Fichiers aidant à décrire le problème :
    C:\WINDOWS\Minidump\Mini041510-01.dmp
    C:\Users\Proprietaire\AppData\Local\Temp\WER-46722-0.sysdata.xml
    C:\Users\Proprietaire\AppData\Local\Temp\WERF21B.tmp.version.txt

    Lire notre déclaration de confidentialité :
    http://go.microsoft.com/fwlink/?linkid=50163&clcid=0x04...
    15 Avril 2010 12:51:25

    voila le rapport log mbr
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    15 Avril 2010 14:08:20

    ok ...



    la mbr est propre ....



    fait tout de même ceci :


    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • Déconnecte toi et DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Clique droit / "executer en tnat qu'admin..." sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...
    15 Avril 2010 14:40:25

    voila le rapport combofix
    ComboFix 10-04-14.01 - Proprietaire 15/04/2010 14:28:31.1.2 - x86
    Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6000.0.1252.33.1036.18.2037.1103 [GMT 2:00]
    Lancé depuis: c:\users\Proprietaire\Desktop\ComboFix.exe
    AV: Norton Internet Security *On-access scanning disabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
    FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
    SP: Norton Internet Security *disabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
    SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\Common Files\Uninstall
    c:\windows\system32\KBL.LOG

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-15 11:46 . 2010-04-15 11:46 411368 ----a-w- c:\windows\system32\deployJava1.dll
    2010-04-14 14:57 . 2010-04-14 14:57 -------- d-----w- C:\_OTM
    2010-04-13 14:35 . 2010-04-14 05:22 -------- d-----w- C:\Ad-Remover
    2010-04-13 12:11 . 2010-04-13 13:48 -------- d-----w- C:\UsbFix
    2010-04-13 05:36 . 2010-04-13 05:36 5918776 ----a-w- c:\programdata\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-04-13 05:27 . 2010-04-13 05:28 -------- d-----w- c:\program files\CCleaner
    2010-04-12 11:08 . 2010-04-12 11:08 -------- d-----w- c:\users\Proprietaire\AppData\Roaming\U3
    2010-04-12 08:45 . 2010-04-14 05:51 -------- d-----w- c:\program files\ZHPDiag
    2010-04-11 16:35 . 2010-04-11 16:35 -------- d-----w- c:\program files\Trend Micro
    2010-04-04 14:05 . 2010-04-04 14:06 -------- d-----w- c:\users\Proprietaire\AppData\Roaming\dvdcss

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-15 11:47 . 2007-11-19 05:08 -------- d-----w- c:\program files\Common Files\Java
    2010-04-15 11:46 . 2007-11-19 05:08 -------- d-----w- c:\program files\Java
    2010-04-15 11:37 . 2007-11-19 04:37 -------- d-----w- c:\programdata\Microsoft Help
    2010-04-15 10:48 . 2007-11-19 11:26 751152 ----a-w- c:\windows\system32\perfh00C.dat
    2010-04-15 10:48 . 2007-11-19 11:26 137900 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-14 11:42 . 2007-11-19 02:58 -------- d-----w- c:\programdata\Symantec
    2010-04-14 11:42 . 2007-11-19 02:58 -------- d-----w- c:\program files\Common Files\Symantec Shared
    2010-04-14 11:32 . 2007-11-19 02:59 -------- d-----w- c:\program files\Symantec
    2010-04-14 05:42 . 2009-07-10 16:05 5648 ----a-w- c:\users\Proprietaire\AppData\Local\d3d9caps.dat
    2010-04-13 05:38 . 2009-06-23 13:43 76960 ----a-w- c:\users\Proprietaire\AppData\Local\GDIPFONTCACHEV1.DAT
    2010-04-13 05:37 . 2009-09-05 16:35 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-03-29 22:46 . 2009-09-05 16:35 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-03-29 22:45 . 2009-09-05 16:35 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-03-07 08:40 . 2009-08-13 13:49 -------- d-----w- c:\program files\Common Files\Steam
    2010-02-26 18:01 . 2010-02-26 18:01 -------- d-----w- c:\program files\directx
    2010-02-26 17:59 . 2010-02-26 17:59 -------- d-----w- c:\program files\Eidos Interactive
    2010-02-24 09:16 . 2009-10-23 16:46 181632 ------w- c:\windows\system32\MpSigStub.exe
    2010-02-21 14:53 . 2009-12-02 11:38 -------- d-----w- c:\users\Proprietaire\AppData\Roaming\Dofus 2
    2010-01-31 13:36 . 2010-01-31 13:36 10134 ----a-r- c:\users\Proprietaire\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-06-25 1232896]
    "WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 2159104]
    "HPAdvisor"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2007-10-01 1783136]
    "Steam"="c:\program files\Valve\Steam\Steam.exe" [2010-02-20 1217872]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-28 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-28 154136]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-28 137752]
    "Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-10-10 212992]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
    "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2007-09-30 181544]
    "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-27 202032]
    "UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-09-13 222504]
    "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-11-19 1006264]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
    "hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-10-03 480560]
    "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "HonorAutoRunSetting"= 0 (0x0)

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
    "aux"=wdmaud.drv

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
    @="Service"

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
    "DisableMonitoring"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-04-15 c:\windows\Tasks\PCConfidential.job
    - c:\program files\Winferno\PC Confidential\PCConfidential.exe [2009-10-31 13:10]

    2010-04-15 c:\windows\Tasks\RegPowerClean.job
    - c:\program files\Winferno\RegistryPowerCleaner\RegPowerClean.exe [2009-10-31 13:48]

    2010-04-15 c:\windows\Tasks\RPCReminder.job
    - c:\program files\Winferno\RegistryPowerCleaner\RPCReminder.exe [2009-10-31 13:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://fr.gdark.com/search.php?cx=partner-pub-7902900401080901%3Ae94ctf-nqmg&cof=FORID%3A10&ie=UTF-8&q={searchTerms}
    uInternet Settings,ProxyOverride = <local>
    uSearchURL,(Default) = hxxp://fr.gdark.com
    IE: &Recherche AOL Toolbar - c:\program files\aol\aol toolbar 5.0\resources\fr-fr\local\search.html
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKLM-Run-HP Health Check Scheduler - [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe



    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
    @Denied: (A) (Users)
    @Denied: (A) (Everyone)
    @Allowed: (B 1 2 3 4 5) (S-1-5-20)
    "BlindDial"=dword:00000000
    .
    Heure de fin: 2010-04-15 14:37:14
    ComboFix-quarantined-files.txt 2010-04-15 12:37

    Avant-CF: 41 866 743 808 octets libres
    Après-CF: 41 815 109 632 octets libres

    - - End Of File - - 57A6164F750AB9CD5BED1E0223E23F05
    15 Avril 2010 15:29:50

    Bien ...




    fais ceci maintenant :


    1- Créer un doc texte sur ton bureau :
  • Pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

  • Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    Reg::
    [-HKCU\Software\Winferno]
    [-HKLM\Software\Winferno]

    File::
    c:\windows\Tasks\PCConfidential.job
    c:\program files\Winferno\PC Confidential\PCConfidential.exe
    c:\program files\Winferno\RegistryPowerCleaner\RegPowerClean.exe
    c:\program files\Winferno\RegistryPowerCleaner\RPCReminder.exe
    c:\windows\Tasks\RPCReminder.job
    c:\windows\Tasks\RegPowerClean.job

    Folder::
    c:\program files\Winferno
    C:\Program Files\Common Files\Winferno

    FileLook::
    c:\users\Proprietaire\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
    c:\windows\system32\igfxtvcx.dll

    RegLock::
    [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]




  • Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi : CFScript puis valide ...



    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --> Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    Regarde ici :


    Cette manipulation va relancer Combofix !

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    -> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été faite spécialement pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
        • 1 / 3
        • 2
        • 3
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS