Se connecter / S'enregistrer
Votre question

[Résolu] PC infecté - rapport Hijackthis

Tags :
  • Hijackthis
  • Sécurité
Dernière réponse : dans Sécurité et virus
15 Avril 2010 11:34:35

Bonjour a tous, mon PC doit être affecté par un virus, trojan, malware ou autre. Avast et malwarebytes' ne détecte rien sur mon PC. Pourtant quand je fais des recherches sur internet mon PC rame et chaque fois que je clic sur un site je suis redirigé sans cesse vers d'autre site, obliger de copier et coller l'adresse dans la barre de navigation. Ceci devient insupportable. merci de m'aidez svp.
Voici mon rapport Hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:24, on 15/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Application Updater\ApplicationUpdater.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Search Settings\SearchSettings.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\trend micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll
O2 - BHO: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (file missing)
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\SearchSettings.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (file missing)
O3 - Toolbar: Dealio Toolbar - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\IE\4.0.2\dealioToolbarIE.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AdobeUpdater6] "C:\Program Files\Fichiers communs\Adobe\Updater6\Adobe_Updater.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

--
End of file - 5928 bytes

Autres pages sur : resolu infecte rapport hijackthis

a c 267 8 Sécurité
15 Avril 2010 11:37:58

Bonjour,


1/

  • Démarre Spybot, clique sur Mode, coche Mode avancé.
  • A gauche, clique sur Outils, puis sur Résident.
  • Décoche la case devant Résident "TeaTimer" :

  • Quitte Spybot.


    2/

  • Télécharge Ad-Remover (de C_XX) sur ton Bureau.
  • Déconnecte-toi et ferme toutes applications en cours.
  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
  • Choisis Nettoyer puis valide.
  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    15 Avril 2010 12:22:38

    Merci pour ton aide.
    Impossible de démarrer Spybot sur mon PC. Je l'ai re-téléchargé et à chaque fois impossible de l'installer : "Error sending request. The server name or address coud not be resolved".
    Contenus similaires
    a c 267 8 Sécurité
    15 Avril 2010 12:31:21

    Tu peux le désinstaller ?
    15 Avril 2010 12:36:30

    oui apparemment c'est bon
    a c 267 8 Sécurité
    15 Avril 2010 13:14:21

    Ok, fais la suite.
    15 Avril 2010 13:45:57

    Voici le rapport d' Ad-Remover :
    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 13:30:57 le 15/04/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP™ Service Pack 3 - X86
    Nom du PC: USER-459D1A5CAA | Utilisateur actuel: utilisateur (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    Service: *Application Updater*
    .
    C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\cmw
    C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\New_tdf
    C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\tdf.zip
    C:\Documents and Settings\All Users\Application Data\Trymedia
    C:\Documents and Settings\utilisateur\Application Data\Dealio
    C:\Documents and Settings\utilisateur\Application Data\pdfforge
    ERREUR SUPPRESSION !! : C:\Documents and Settings\utilisateur\Application Data\Search Settings
    C:\Documents and Settings\utilisateur\Favoris\MyQuickFinder.url
    C:\Documents and Settings\utilisateur\Local Settings\Application Data\Gameztar Toolbar
    C:\Program Files\Application Updater
    C:\Program Files\Dealio Toolbar
    C:\Program Files\Gameztar Toolbar
    C:\Program Files\Mozilla FireFox\extensions\dealio@mybrowserbar.com
    C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
    C:\Program Files\Search Settings

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\CMW
    HKCU\Software\Dealio
    HKCU\Software\Gameztar Toolbar
    HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{342168F8-AE4A-41E8-A6B5-8FB9FECBEF37}
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKCU\Software\pdfforge
    HKCU\Software\PopCap
    HKCU\Software\Search Settings
    HKLM\Software\Application Updater
    HKLM\Software\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
    HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Classes\Installer\Products\05391F592A3AB1944A4045DB3DD44BD9
    HKLM\Software\Classes\Installer\Products\96DC878CBD58B624183A7E1157AABE19
    HKLM\Software\Classes\Interface\{629CD6C2-E4C5-4554-AEB8-12E4E2CD40FF}
    HKLM\Software\Classes\Interface\{7697BC38-D0FA-454B-AC75-968B4CCABFCE}
    HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
    HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
    HKLM\Software\Classes\SearchSettings.BHO
    HKLM\Software\Classes\SearchSettings.BHO.1
    HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
    HKLM\Software\Classes\TypeLib\{F5B8C69C-9B45-4A6A-9380-DF225C546AE7}
    HKLM\Software\Dealio
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\05391F592A3AB1944A4045DB3DD44BD9
    HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\96DC878CBD58B624183A7E1157AABE19
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{95F19350-A3A2-491B-A404-54BDD34DB49D}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C878CD69-85DB-426B-81A3-E71175AAEB91}
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Gameztar Toolbar
    HKLM\Software\pdfforge
    HKLM\Software\PopCap
    HKLM\Software\Search Settings
    HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Application Updater\ApplicationUpdater.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\chrome.manifest
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\components\dealioToolbarFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Dealio Toolbar\FF\install.rdf
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome.manifest
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\components\pdfforgeToolbarFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\FF\install.rdf
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SearchSettings.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome.manifest
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\chrome\locale\en-US\searchsettingsplugin.dtd
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\components\SearchSettingsFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\pdfforge Toolbar\SSFF\install.rdf
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\chrome\locale\en-US\searchsettingsplugin.dtd
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\components\SearchSettingsFF.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\FF\install.rdf
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.dll
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
    HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettingsRes409.dll
    .
    (Orpheline) HKCU,Run - SpybotSD TeaTimer - C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Fichier manquant)
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.5.9 (fr) *
    .
    C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\utilisateur\\Bureau
    C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.search.defaultenginename: Yahoo
    C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.search.selectedEngine: Yahoo
    C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.startup.homepage: hxxp://www.theprizeday.com/today.php|hxxp://www.google.fr/ig
    C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.9
    C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - keyword.URL: hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
    .
    EFFACÉ: C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - user_pref("general.useragent.extra.hotvideobar", "hotvideobar_2_2_862426831384166_175_643 VB_gameztar");
    EFFACÉ: C:\Documents and Settings\utilisateur\..\mxdb3cz3.default\prefs.js - user_pref("hotvideobar.startonce", "false");
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ============== SUSPECT(S) ==============
    .
    C:\Documents and Settings\utilisateur\Bureau\logiciel\graitec\CRACK\Effel.v14.1_crk.exe
    C:\Documents and Settings\utilisateur\Bureau\logiciel\graitec\CRACK\Lz0.nfo
    C:\Documents and Settings\utilisateur\Bureau\Ultimate Pack Chants Supporters PES by juni11\Nouveau dossier\ISS_ULTIMATE_PATCH_PES2010_EU_V3.0_Fix_[by_Wemerica_&_Keuch].rar
    C:\Documents and Settings\utilisateur\Bureau\Ultimate Pack Chants Supporters PES by juni11\Nouveau dossier\Visit MySoccerPatch_com.URL
    .
    ========================================
    .
    C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp: 2 Fichier(s), 55 Dossier(s)
    C:\WINDOWS\temp: 2 Fichier(s), 334 Dossier(s)
    Temporary Internet Files: 2 Fichier(s), 19 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 19 Fichier(s)
    C:\Ad-Remover\Backup: 14 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 10407 Octet(s)
    .
    Fin à: 13:35:39, 15/04/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    a c 267 8 Sécurité
    15 Avril 2010 17:02:17

  • Relance Ad-Remover et choisis Désinstaller.

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    15 Avril 2010 17:17:48

    Impossible de me connecter sur le site : http://oldtimer.geekstogo.com/OTL.exe.
    "Serveur introuvable
    Firefox ne peut trouver le serveur à l'adresse oldtimer.geekstogo.com."
    Même résultat avec internet explorer
    a c 267 8 Sécurité
    15 Avril 2010 17:21:47

    Le lien fonctionne pourtant.

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    15 Avril 2010 17:29:03

    Impossible de faire la mise à jour : "Une erreur est survenue. Veuillez transmettre au support de Malwarebytes' Anti-Malware le code d'erreur ci dessous. Error code: 732 (0, 0).
    (Impossible de faire les mises à jour sur avast non plus).
    Merci de ton aide
    15 Avril 2010 17:37:14

    J'avais déjà télécharger Malwarebytes' Anti-Malware sur mon PC. Quand je clic sur ton lien "Malwarebytes' Anti-Malware (MBAM)" même message d'erreur que précédemment serveur introuvable.
    15 Avril 2010 17:38:27

    non même message d'erreur
    a c 267 8 Sécurité
    15 Avril 2010 17:39:15

    Réessaie.
    15 Avril 2010 17:40:48

    toujours pareil.
    15 Avril 2010 18:39:15

    Toujours le même message d'erreur. J'essaie de télécharger les logiciels sur d'autre site pour voir ou de copier et coller l'adresse dans la barre de navigation mais rien à faire toujours et encore le même message d'erreur. Par contre j'ai essayé de télécharger des logiciels type vlc... et la aucun souci.
    a c 267 8 Sécurité
    15 Avril 2010 20:10:08

    Tu n'as pas un autre PC ?
    15 Avril 2010 20:26:02

    J'en aurai un autre se weekend. Je recommence par télécharger OTL?
    Je colle les liens des rapports d'OTL dans le weekend.
    merci
    15 Avril 2010 21:28:07

    J'ai pu télécharger Combofix voici le rapport :

    ComboFix 10-04-14.04 - utilisateur 15/04/2010 21:13:39.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.895.604 [GMT 2:00]
    Lancé depuis: c:\documents and settings\utilisateur\Mes documents\Téléchargements\ComboFix.exe
    AV: avast! Antivirus *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\windows\lgo
    c:\windows\rdr_1266956487.exe
    c:\windows\rdr_1266961488.exe
    c:\windows\rdr_1266965272.exe
    c:\windows\rdr_1267013866.exe
    c:\windows\rdr_1267017788.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_SRVOKO6
    -------\Service_srvoko6


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-12 11:59 . 2010-04-15 09:11 -------- d-----w- c:\program files\trend micro
    2010-04-09 10:03 . 2010-04-09 10:03 -------- d-----w- c:\documents and settings\utilisateur\Application Data\AVS4YOU
    2010-04-09 10:01 . 2010-04-15 14:13 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
    2010-04-09 10:00 . 2007-12-29 08:42 974848 ----a-w- c:\windows\system32\mfc70.dll
    2010-04-09 10:00 . 2007-12-29 08:42 487424 ----a-w- c:\windows\system32\msvcp70.dll
    2010-04-09 10:00 . 2010-04-15 14:13 -------- d-----w- c:\program files\AVS4YOU
    2010-04-09 10:00 . 2008-07-17 15:25 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
    2010-04-09 09:12 . 2010-04-09 09:12 -------- d-----w- c:\documents and settings\utilisateur\Local Settings\Application Data\WMTools Downloaded Files

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-15 18:56 . 2010-02-08 23:30 -------- d-----w- c:\documents and settings\utilisateur\Application Data\vlc
    2010-04-15 18:28 . 2009-10-22 16:50 -------- d-----w- c:\documents and settings\utilisateur\Application Data\dvdcss
    2010-04-13 19:56 . 2010-02-15 20:39 -------- d-----w- c:\program files\Google
    2010-04-09 10:03 . 2007-03-15 14:36 69264 ----a-w- c:\documents and settings\utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-04-09 09:13 . 2009-11-23 19:36 -------- d-----w- c:\program files\Windows Media Connect 2
    2010-04-08 18:07 . 2008-04-14 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-08 18:07 . 2008-04-14 12:00 503894 ----a-w- c:\windows\system32\perfh00C.dat
    2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\documents and settings\utilisateur\Application Data\Malwarebytes
    2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-02-28 19:33 . 2010-02-25 11:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
    2010-02-25 18:33 . 2010-02-09 19:36 -------- d-----w- c:\program files\PokerStars.NET
    2010-02-24 15:10 . 2010-02-24 15:10 212 ----a-w- C:\curr_ver.tmp
    2010-02-24 14:51 . 2010-02-23 21:18 -------- d-----w- c:\program files\Navilog1
    2010-02-19 02:23 . 2007-03-22 12:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-02-19 02:12 . 2007-03-22 13:03 -------- d-----w- c:\program files\Microsoft Works
    2010-02-16 18:58 . 2010-02-16 18:58 -------- d-----w- c:\program files\Microsoft Silverlight
    2010-02-11 18:53 . 2009-12-25 18:39 38848 ----a-w- c:\windows\system32\avastSS.scr
    2010-02-11 18:53 . 2009-12-25 18:38 153184 ----a-w- c:\windows\system32\aswBoot.exe
    2010-02-11 18:42 . 2009-12-25 18:39 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-02-11 18:42 . 2009-12-25 18:39 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-02-11 18:39 . 2009-12-25 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-02-11 18:38 . 2009-12-25 18:39 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2010-02-11 18:38 . 2009-12-25 18:39 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2010-02-11 18:38 . 2009-12-25 18:39 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-02-11 18:38 . 2009-12-25 18:39 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HControl"="c:\windows\ATK0100\HControl.exe" [2007-03-15 106496]
    "SMSERIAL"="sm56hlpr.exe" [2007-03-15 544768]
    "RTHDCPL"="RTHDCPL.EXE" [2007-03-15 16270848]
    "SkyTel"="SkyTel.EXE" [2007-03-15 2879488]
    "Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-02-11 2756488]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "8085:TCP"= 8085:TCP:GateOKO

    R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/03/2007 15:28 721904]
    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25/12/2009 20:39 162512]
    R1 o6ko;Sendmail VMware Auto for;c:\windows\system32\drivers\o6ko.sys [24/02/2009 04:28 32768]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [25/12/2009 20:39 19024]
    R3 SynMini;USB2.0 1.3M WebCam;c:\windows\system32\drivers\SynMini.sys [03/07/2006 11:33 1056512]
    R3 SynScan;USB2.0 1.3M WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [30/06/2006 11:40 8064]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [15/02/2010 22:39 135664]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    netsvc6 REG_MULTI_SZ srvoko6
    .
    Contenu du dossier 'Tâches planifiées'

    2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 20:39]

    2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 20:39]

    2010-04-15 c:\windows\Tasks\User_Feed_Synchronization-{275D3709-C622-4D69-8038-3DF74D8E9C90}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
    FF - ProfilePath - c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\mxdb3cz3.default\
    FF - prefs.js: browser.search.selectedEngine - Yahoo
    FF - prefs.js: browser.startup.homepage - hxxp://www.theprizeday.com/today.php|http://www.google.fr/ig
    FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
    FF - component: c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\mxdb3cz3.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-15 21:19
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spwx.sys >>UNKNOWN [0x84B8E938]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf74dff28
    \Driver\ACPI -> ACPI.sys @ 0xf7258cb8
    \Driver\atapi -> atapi.sys @ 0xf71f5b40
    IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
    ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
    \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
    ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
    NDIS: Realtek RTL8139/810x Family Fast Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf70ecbd4
    PacketIndicateHandler -> NDIS.sys @ 0xf70f8a21
    SendHandler -> NDIS.sys @ 0xf70ecd44
    user & kernel MBR OK

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(628)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(3000)
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\RTHDCPL.EXE
    c:\program files\Alwil Software\Avast5\setup\avast.setup
    .
    **************************************************************************
    .
    Heure de fin: 2010-04-15 21:24:16 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-04-15 19:24

    Avant-CF: 2 521 518 080 octets libres
    Après-CF: 2 447 695 872 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

    - - End Of File - - E10B672262D201B2325FE8711F7641A9
    15 Avril 2010 21:32:59

    Avast vient de se mettre à jour ce qui n'était pas possible avant avant ce scan.
    a c 267 8 Sécurité
    15 Avril 2010 21:43:54

    /!\ Seul clemeu42 peut suivre cette procédure /!\

    Désactive toute protection résidente (Antivirus...) !

    ---> Copie (CTRL+C) le texte se situant dans le cadre ci-dessous :

    KillAll::

    Driver::
    o6ko

    File::
    c:\windows\system32\drivers\o6ko.sys

    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    "netsvc6"=-

    ---> Ouvre le Bloc-notes : Démarrer > Tous les programmes > Accessoires > Bloc-notes.

    - Colle (CTRL+V) le texte dans le Bloc-notes.
    - Enregistre ce fichier dans : Bureau
    - Nom du fichier : CFScript
    - Type du fichier : tous les fichiers !!
    - Clique sur Enregistrer.
    - Quitte le Bloc-notes.

    ---> Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :



  • Cela va relancer Combofix : au message qui apparaît, accepte.
  • Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
  • Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher, copie/colle son contenu sur le forum.
  • Si le fichier ne s'ouvre pas, il se trouve ici : C:\ComboFix.txt

    ;) 
    15 Avril 2010 21:48:04

    Internet semble fonctionner normalement depuis le scan et tous les liens que tu as posté ici fonctionne aussi. Donc faut-il faire d'autre scan pour voir si mon PC est enfin clean. En tout cas merci pour ta patience.
    15 Avril 2010 21:48:27

    ok je fais la manip je t'ai écrit entre temps
    a c 267 8 Sécurité
    15 Avril 2010 21:49:59

    Il reste une partie de l'infection Koobface.
    15 Avril 2010 22:09:14

    Voici le rapport :

    ComboFix 10-04-14.04 - utilisateur 15/04/2010 21:57:22.2.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.895.602 [GMT 2:00]
    Lancé depuis: c:\documents and settings\utilisateur\Mes documents\Téléchargements\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\utilisateur\Bureau\CFScript.txt
    AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    FILE ::
    "c:\windows\system32\drivers\o6ko.sys"
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_O6KO
    -------\Service_o6ko


    ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-15 au 2010-04-15 ))))))))))))))))))))))))))))))))))))
    .

    2010-04-12 11:59 . 2010-04-15 09:11 -------- d-----w- c:\program files\trend micro
    2010-04-09 10:03 . 2010-04-09 10:03 -------- d-----w- c:\documents and settings\utilisateur\Application Data\AVS4YOU
    2010-04-09 10:01 . 2010-04-15 14:13 -------- d-----w- c:\program files\Fichiers communs\AVSMedia
    2010-04-09 10:00 . 2007-12-29 08:42 974848 ----a-w- c:\windows\system32\mfc70.dll
    2010-04-09 10:00 . 2007-12-29 08:42 487424 ----a-w- c:\windows\system32\msvcp70.dll
    2010-04-09 10:00 . 2010-04-15 14:13 -------- d-----w- c:\program files\AVS4YOU
    2010-04-09 10:00 . 2008-07-17 15:25 1700352 ----a-w- c:\windows\system32\GdiPlus.dll
    2010-04-09 09:12 . 2010-04-09 09:12 -------- d-----w- c:\documents and settings\utilisateur\Local Settings\Application Data\WMTools Downloaded Files

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-04-15 18:56 . 2010-02-08 23:30 -------- d-----w- c:\documents and settings\utilisateur\Application Data\vlc
    2010-04-15 18:28 . 2009-10-22 16:50 -------- d-----w- c:\documents and settings\utilisateur\Application Data\dvdcss
    2010-04-14 16:47 . 2009-12-25 18:39 38848 ----a-w- c:\windows\system32\avastSS.scr
    2010-04-14 16:47 . 2009-12-25 18:38 153184 ----a-w- c:\windows\system32\aswBoot.exe
    2010-04-14 16:35 . 2009-12-25 18:39 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2010-04-14 16:35 . 2009-12-25 18:39 162768 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2010-04-14 16:31 . 2009-12-25 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2010-04-14 16:31 . 2009-12-25 18:39 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2010-04-14 16:31 . 2009-12-25 18:39 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2010-04-14 16:31 . 2009-12-25 18:39 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2010-04-14 16:30 . 2009-12-25 18:39 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2010-04-13 19:56 . 2010-02-15 20:39 -------- d-----w- c:\program files\Google
    2010-04-09 10:03 . 2007-03-15 14:36 69264 ----a-w- c:\documents and settings\utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-04-09 09:13 . 2009-11-23 19:36 -------- d-----w- c:\program files\Windows Media Connect 2
    2010-04-08 18:07 . 2008-04-14 12:00 81824 ----a-w- c:\windows\system32\perfc00C.dat
    2010-04-08 18:07 . 2008-04-14 12:00 503894 ----a-w- c:\windows\system32\perfh00C.dat
    2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\documents and settings\utilisateur\Application Data\Malwarebytes
    2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-28 19:47 . 2010-02-28 19:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-02-28 19:33 . 2010-02-25 11:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
    2010-02-25 18:33 . 2010-02-09 19:36 -------- d-----w- c:\program files\PokerStars.NET
    2010-02-24 15:10 . 2010-02-24 15:10 212 ----a-w- C:\curr_ver.tmp
    2010-02-24 14:51 . 2010-02-23 21:18 -------- d-----w- c:\program files\Navilog1
    2010-02-19 02:23 . 2007-03-22 12:58 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-02-19 02:12 . 2007-03-22 13:03 -------- d-----w- c:\program files\Microsoft Works
    2010-02-16 18:58 . 2010-02-16 18:58 -------- d-----w- c:\program files\Microsoft Silverlight
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HControl"="c:\windows\ATK0100\HControl.exe" [2007-03-15 106496]
    "SMSERIAL"="sm56hlpr.exe" [2007-03-15 544768]
    "RTHDCPL"="RTHDCPL.EXE" [2007-03-15 16270848]
    "SkyTel"="SkyTel.EXE" [2007-03-15 2879488]
    "Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2005-10-17 987136]
    "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-04-14 2790472]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "8085:TCP"= 8085:TCP:GateOKO

    R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/03/2007 15:28 721904]
    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [25/12/2009 20:39 162768]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [25/12/2009 20:39 19024]
    R3 SynMini;USB2.0 1.3M WebCam;c:\windows\system32\drivers\SynMini.sys [03/07/2006 11:33 1056512]
    R3 SynScan;USB2.0 1.3M WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [30/06/2006 11:40 8064]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [15/02/2010 22:39 135664]
    .
    Contenu du dossier 'Tâches planifiées'

    2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 20:39]

    2010-04-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-15 20:39]

    2010-04-15 c:\windows\Tasks\User_Feed_Synchronization-{275D3709-C622-4D69-8038-3DF74D8E9C90}.job
    - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
    FF - ProfilePath - c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\mxdb3cz3.default\
    FF - prefs.js: browser.search.selectedEngine - Yahoo
    FF - prefs.js: browser.startup.homepage - hxxp://www.theprizeday.com/today.php|http://www.google.fr/ig
    FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=971163&p=
    FF - component: c:\documents and settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\mxdb3cz3.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
    FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
    FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-04-15 22:04
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spyi.sys >>UNKNOWN [0x84B8E938]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf74dff28
    \Driver\ACPI -> ACPI.sys @ 0xf7258cb8
    \Driver\atapi -> atapi.sys @ 0xf71f5b40
    IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
    ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
    \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022
    ParseProcedure -> ntkrnlpa.exe @ 0x80577c84
    NDIS: Realtek RTL8139/810x Family Fast Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf70ecbd4
    PacketIndicateHandler -> NDIS.sys @ 0xf70f8a21
    SendHandler -> NDIS.sys @ 0xf70ecd44
    user & kernel MBR OK

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(620)
    c:\windows\system32\Ati2evxx.dll

    - - - - - - - > 'explorer.exe'(4068)
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    c:\windows\system32\eappprxy.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\system32\Ati2evxx.exe
    c:\windows\system32\Ati2evxx.exe
    c:\program files\Alwil Software\Avast5\AvastSvc.exe
    c:\windows\RTHDCPL.EXE
    .
    **************************************************************************
    .
    Heure de fin: 2010-04-15 22:07:32 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-04-15 20:07
    ComboFix2.txt 2010-04-15 19:24

    Avant-CF: 2 409 758 720 octets libres
    Après-CF: 2 378 055 680 octets libres

    - - End Of File - - 4DA58212E009F678F59AC02DB46F1A93
    15 Avril 2010 23:21:06

    J'ai lancer l'outil et a la fin de l'analyse de l'analyse une fenêtre "bloc note" s'ouvre et elle est vide
    15 Avril 2010 23:52:12

    Je lance TDSSkiller une fenêtre s'ouvre, tous les résultats sont à 0, j'appui sur une touche comme demander puis la fenêtre se ferme et rien.
    a c 267 8 Sécurité
    16 Avril 2010 00:03:09

    Ok.

    Tu peux faire le scan avec Malwarebytes' Anti-Malware ?
    16 Avril 2010 00:05:13

    oui je le fais je vien de faire la mise a jour, ok
    16 Avril 2010 00:11:05

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3930

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    16/04/2010 00:10:13
    mbam-log-2010-04-16 (00-10-13).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 98690
    Temps écoulé: 4 minute(s), 48 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    16 Avril 2010 00:17:43

    J'ai le rapport de TDSSkiller je l'avais pas vu excuse :

    00:14:32:046 0488 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
    00:14:32:046 0488 ================================================================================
    00:14:32:046 0488 SystemInfo:

    00:14:32:046 0488 OS Version: 5.1.2600 ServicePack: 3.0
    00:14:32:046 0488 Product type: Workstation
    00:14:32:046 0488 ComputerName: USER-459D1A5CAA
    00:14:32:046 0488 UserName: utilisateur
    00:14:32:046 0488 Windows directory: C:\WINDOWS
    00:14:32:046 0488 Processor architecture: Intel x86
    00:14:32:046 0488 Number of processors: 1
    00:14:32:046 0488 Page size: 0x1000
    00:14:32:046 0488 Boot type: Normal boot
    00:14:32:046 0488 ================================================================================
    00:14:32:046 0488 UnloadDriverW: NtUnloadDriver error 2
    00:14:32:046 0488 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
    00:14:32:062 0488 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
    00:14:32:062 0488 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
    00:14:32:062 0488 wfopen_ex: Trying to KLMD file open
    00:14:32:062 0488 wfopen_ex: File opened ok (Flags 2)
    00:14:32:062 0488 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
    00:14:32:062 0488 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
    00:14:32:062 0488 wfopen_ex: Trying to KLMD file open
    00:14:32:062 0488 wfopen_ex: File opened ok (Flags 2)
    00:14:32:062 0488 Initialize success
    00:14:32:062 0488
    00:14:32:062 0488 Scanning Services ...
    00:14:32:531 0488 Raw services enum returned 336 services
    00:14:32:546 0488
    00:14:32:546 0488 Scanning Kernel memory ...
    00:14:32:546 0488 Devices to scan: 2
    00:14:32:546 0488
    00:14:32:546 0488 Driver Name: Disk
    00:14:32:546 0488 IRP_MJ_CREATE : F74E1BB0
    00:14:32:546 0488 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
    00:14:32:546 0488 IRP_MJ_CLOSE : F74E1BB0
    00:14:32:546 0488 IRP_MJ_READ : F74DBD1F
    00:14:32:546 0488 IRP_MJ_WRITE : F74DBD1F
    00:14:32:546 0488 IRP_MJ_QUERY_INFORMATION : 804F355A
    00:14:32:546 0488 IRP_MJ_SET_INFORMATION : 804F355A
    00:14:32:546 0488 IRP_MJ_QUERY_EA : 804F355A
    00:14:32:546 0488 IRP_MJ_SET_EA : 804F355A
    00:14:32:546 0488 IRP_MJ_FLUSH_BUFFERS : F74DC2E2
    00:14:32:546 0488 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
    00:14:32:546 0488 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
    00:14:32:546 0488 IRP_MJ_DIRECTORY_CONTROL : 804F355A
    00:14:32:546 0488 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
    00:14:32:546 0488 IRP_MJ_DEVICE_CONTROL : F74DC3BB
    00:14:32:546 0488 IRP_MJ_INTERNAL_DEVICE_CONTROL : F74DFF28
    00:14:32:546 0488 IRP_MJ_SHUTDOWN : F74DC2E2
    00:14:32:546 0488 IRP_MJ_LOCK_CONTROL : 804F355A
    00:14:32:546 0488 IRP_MJ_CLEANUP : 804F355A
    00:14:32:546 0488 IRP_MJ_CREATE_MAILSLOT : 804F355A
    00:14:32:546 0488 IRP_MJ_QUERY_SECURITY : 804F355A
    00:14:32:546 0488 IRP_MJ_SET_SECURITY : 804F355A
    00:14:32:546 0488 IRP_MJ_POWER : F74DDC82
    00:14:32:546 0488 IRP_MJ_SYSTEM_CONTROL : F74E299E
    00:14:32:546 0488 IRP_MJ_DEVICE_CHANGE : 804F355A
    00:14:32:546 0488 IRP_MJ_QUERY_QUOTA : 804F355A
    00:14:32:546 0488 IRP_MJ_SET_QUOTA : 804F355A
    00:14:32:562 0488 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
    00:14:32:562 0488
    00:14:32:562 0488 Driver Name: atapi
    00:14:32:562 0488 IRP_MJ_CREATE : F71F5B40
    00:14:32:562 0488 IRP_MJ_CREATE_NAMED_PIPE : 804F355A
    00:14:32:562 0488 IRP_MJ_CLOSE : F71F5B40
    00:14:32:562 0488 IRP_MJ_READ : 804F355A
    00:14:32:562 0488 IRP_MJ_WRITE : 804F355A
    00:14:32:562 0488 IRP_MJ_QUERY_INFORMATION : 804F355A
    00:14:32:562 0488 IRP_MJ_SET_INFORMATION : 804F355A
    00:14:32:562 0488 IRP_MJ_QUERY_EA : 804F355A
    00:14:32:562 0488 IRP_MJ_SET_EA : 804F355A
    00:14:32:562 0488 IRP_MJ_FLUSH_BUFFERS : 804F355A
    00:14:32:562 0488 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A
    00:14:32:562 0488 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A
    00:14:32:562 0488 IRP_MJ_DIRECTORY_CONTROL : 804F355A
    00:14:32:562 0488 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A
    00:14:32:562 0488 IRP_MJ_DEVICE_CONTROL : F71F5B40
    00:14:32:562 0488 IRP_MJ_INTERNAL_DEVICE_CONTROL : F71F5B40
    00:14:32:562 0488 IRP_MJ_SHUTDOWN : 804F355A
    00:14:32:562 0488 IRP_MJ_LOCK_CONTROL : 804F355A
    00:14:32:562 0488 IRP_MJ_CLEANUP : 804F355A
    00:14:32:562 0488 IRP_MJ_CREATE_MAILSLOT : 804F355A
    00:14:32:562 0488 IRP_MJ_QUERY_SECURITY : 804F355A
    00:14:32:562 0488 IRP_MJ_SET_SECURITY : 804F355A
    00:14:32:562 0488 IRP_MJ_POWER : F71F5B40
    00:14:32:562 0488 IRP_MJ_SYSTEM_CONTROL : F71F5B40
    00:14:32:562 0488 IRP_MJ_DEVICE_CHANGE : 804F355A
    00:14:32:562 0488 IRP_MJ_QUERY_QUOTA : 804F355A
    00:14:32:562 0488 IRP_MJ_SET_QUOTA : 804F355A
    00:14:32:562 0488 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: 1
    00:14:32:562 0488
    00:14:32:562 0488 Completed
    00:14:32:562 0488
    00:14:32:562 0488 Results:
    00:14:32:562 0488 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
    00:14:32:562 0488 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
    00:14:32:562 0488 File objects infected / cured / cured on reboot: 0 / 0 / 0
    00:14:32:562 0488
    00:14:32:562 0488 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
    00:14:32:562 0488 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
    00:14:33:203 0488 KLMD(ARK) unloaded successfully
    a c 267 8 Sécurité
    16 Avril 2010 14:57:08

  • Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide.

    Peux-tu faire la manip' avec OTL ?

    Comment va le PC ?
    18 Avril 2010 12:11:25

    Excuse pour le retard! Le PC fonctionne normalement maintenant. Je peux faire la manip' avec OTL, je fais l'analyse?
    18 Avril 2010 12:50:08

    Par contre j'avais déjà supprimé combofix clic droit supprimer donc "Menu Démarrer > Exécuter > Tape ComboFix /uninstall et valide." ne fonctionne pas, logique. J'ai fais une recherche dans tous les fichiers et dossier et apparemment plus de trace de Combofix.
    a c 267 8 Sécurité
    18 Avril 2010 13:49:08

    Le dossier Qoobox à la racine de la partition C fait partie de ComboFix.

    Tu peux faire l'analyse avec OTL.
    a c 267 8 Sécurité
    18 Avril 2010 14:23:39

    On a bientôt fini.

  • Désinstalle Softonic_France Toolbar.

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    FF - prefs.js..extensions.enabledItems: {F2DDDB92-1605-4260-9B25-45A4DAE87B50}:1.0
    [2009/12/29 13:06:39 | 000,000,000 | ---D | M] (QuestService) -- C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}
    [2010/02/11 18:57:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\Search Settings

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    18 Avril 2010 14:39:04

    Voici le rapport :

    All processes killed
    ========== OTL ==========
    Prefs.js: {F2DDDB92-1605-4260-9B25-45A4DAE87B50}:1.0 removed from extensions.enabledItems
    C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}\defaults\preferences folder moved successfully.
    C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}\defaults folder moved successfully.
    C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50}\chrome folder moved successfully.
    C:\Program Files\Mozilla Firefox\extensions\{F2DDDB92-1605-4260-9B25-45A4DAE87B50} folder moved successfully.
    C:\Documents and Settings\utilisateur\Application Data\Search Settings\kb130\temp folder moved successfully.
    C:\Documents and Settings\utilisateur\Application Data\Search Settings\kb130 folder moved successfully.
    C:\Documents and Settings\utilisateur\Application Data\Search Settings\kb128\temp folder moved successfully.
    C:\Documents and Settings\utilisateur\Application Data\Search Settings\kb128 folder moved successfully.
    C:\Documents and Settings\utilisateur\Application Data\Search Settings folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 32902 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: utilisateur
    ->Temp folder emptied: 368107877 bytes
    ->Temporary Internet Files folder emptied: 27643662 bytes
    ->FireFox cache emptied: 87785672 bytes
    ->Google Chrome cache emptied: 594288 bytes
    ->Flash cache emptied: 53018 bytes

    %systemdrive% .tmp files removed: 212 bytes
    %systemroot% .tmp files removed: 2351795 bytes
    %systemroot%\System32 .tmp files removed: 3175936 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 1784967 bytes

    Total Files Cleaned = 469,00 mb


    OTL by OldTimer - Version 3.2.1.2 log created on 04182010_143030

    Files\Folders moved on Reboot...
    File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found!

    Registry entries deleted on Reboot...
    a c 267 8 Sécurité
    18 Avril 2010 14:41:56

    1/

  • Télécharge ToolsCleaner2 sur ton Bureau.
  • Double-clique sur ToolsCleaner2.exe pour le lancer.
  • Clique sur Recherche et laisse le scan agir.
  • Clique sur Suppression pour finaliser.
  • Tu peux, si tu le souhaites, te servir des Options Facultatives.
  • Clique sur Quitter pour obtenir le rapport.
  • Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


    2/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


    ==Prévention==

    Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, Propriétés, onglet Mises à jour automatiques).

    Par rapport au P2P : Lien

    Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    Sois plus vigilant(e) sur Internet ;) 
    18 Avril 2010 14:53:54

    Rapport de ToolsCleaner2, je fais la suite :

    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
    C:\Documents and Settings\utilisateur\Bureau\HijackThis.lnk: trouvé !
    C:\Program Files\Navilog1: trouvé !
    C:\Program Files\Navilog1\Navilog1.bat: trouvé !
    C:\Program Files\trend micro\HijackThis: trouvé !
    C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé !
    C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé !
    C:\WINDOWS\mbr.exe: trouvé !

    ---------------------------------
    --> Suppression:

    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
    C:\Documents and Settings\utilisateur\Bureau\HijackThis.lnk: supprimé !
    C:\Program Files\Navilog1\Navilog1.bat: supprimé !
    C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé !
    C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé !
    C:\WINDOWS\mbr.exe: supprimé !
    C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
    C:\Program Files\Navilog1: supprimé !
    C:\Program Files\trend micro\HijackThis: supprimé !
    a c 267 8 Sécurité
    18 Avril 2010 15:38:40

    Tu peux supprimer ToolsCleaner.
    18 Avril 2010 16:36:02

    oui je l'ai supprimé
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS