Se connecter / S'enregistrer
Votre question

[Résolu] Infestée par Security Tool

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Janvier 2010 20:28:49

Bonsoir, ma mère est allée sur un site d'exercice pédagogique sur le cirque et son ordinateur est maintenant infecté par Security Tool.
Avira ne cesse de l'avertir q'un virus a été trouvé sur son ordinateur mais bien qu'elle clique sur refuser l'accès, le message réapparait aussitôt.
Si quelqu'un pouvait nous aider ce serait très aimable.
Merci

Autres pages sur : resolu infestee security tool

11 Janvier 2010 20:45:51

Salut,


une plaie cette infection .... :o 


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).


commence par ceci pour avir un diagnostique précis de la situation :


1- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag)

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


====================


2- Lance de nouveau ZHPDiag ,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...


11 Janvier 2010 20:56:17

Tout d'abord merci pour le coup de main, je voulais savoir si par "déconnectes toi " tu entends se déconnecter d'internet.
Contenus similaires
11 Janvier 2010 21:24:35

re,

Citation :
je voulais savoir si par "déconnectes toi " tu entends se déconnecter d'internet.



> oui ... :D 
11 Janvier 2010 21:27:04

(j'écris à partir de mon propre ordinateur)
J'ai lancé ZHPDiag après avoir fermé toutes les applications et m'être déconnectée, cependant avira a balancé une autre de ses alertes, ce qui a eu comme conséquence de bloquer ZHPDiag, qui ne répond plus.
Que faire?
11 Janvier 2010 21:38:35

re,

désactive la garde d'Avira le temps du scan pour éviter toutes interférences ....


lors des prochaines alerte d' AntiVir , choisis de mettre en "quarantaine" ( cela commencera à faire un pré nettoyage )
11 Janvier 2010 22:33:55

et beh ....


du boulot ! ... en plus du rogue Security Tool , y a du monde ....



commence par ceci dans l'ordre :


1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
http://eric.71.mespages.googlepages.com/ToolBarSD.exe
ou ici http://eric71.geekstogo.com/tools/ToolBarSD.exe

( Tuto : http://toolbarsd.googlepages.com/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe ( AntiVir et navigateurs compris ) !!

* Double clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


=====================

2- Télécharge Lop S&D (de AngelDark & Eric71) :
http://eric.71.mespages.googlepages.com/LopSD.exe
ou ici http://eric71.geekstogo.com/tools/LopSD.exe

! Déconnecte-toi et ferme toutes tes applications en cours ( désactive AntiVir ) !

Double-clique sur l'.exe que tu viens de télécharger pour lancer l'outil .

> tape [F] puis [entrée] pour avoir l'outil en français

> Au menu principal, choisis l'option directement l 'option 2 (Nettoyage) et valides.


Laisse travailler l'outil et ne touche à rien ...


Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.

> Poste ce rapport dans ta prochaine réponse pour analyse ....


Tuto : http://eric.71.mespages.googlepages.com/lop.sd.exe


=========================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


11 Janvier 2010 23:21:31

vu,


enchaine ... ;) 
11 Janvier 2010 23:38:34

Voici le lien pour le second rapport (Lop S&)
http://www.cijoint.fr/cjlink.php?file=cj201001/cijKGbMZ...

et celui pour le troisième rapport (ZHPDiag).
Comme je ne savais pas quelle analyse faire j'ai effectué les deux!

lien de "la loupe"
http://www.cijoint.fr/cjlink.php?file=cj201001/cija4QHj...

lien de "la loupe + le dossier"
http://www.cijoint.fr/cjlink.php?file=cj201001/cijkO7Nu...

Merci encore


P.S. : je m'arrête là pour aujourd'hui pour cause d'exams très proches, je reprendrais demain en rentrant de la fac.
Merci beaucoup et bonne nuit.
(je vais laisser l'ordinateur allumé)
12 Janvier 2010 00:17:29

bien ....


que personne ne touche au PC surtout !!!!!



la suite pour demain .... dans l'ordre :




1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

> http://www.cijoint.fr/cj201001/cijocb5N0v.txt


Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres lorsque tu les copies dans ZHPFix.


* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...


=======================


2- tu vas pouvoir ensuite utiliser Malwarebytes ainsi :

mets le à jour ! ( onglet "mise à jour" ) .


* Potasse ce tuto pour te familiariser avec le prg :
http://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit " RAPIDE " .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


=====================


3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
12 Janvier 2010 18:12:22

Me voici de retour, et voilà le rapport ZHPFix.

ZHPFix v1.12.25 by Nicolas Coolman - Rapport de suppression du 12/01/2010 18:08:51
Fichier d'export Registre : C:\ZHPExportRegistry-12-01-2010-18-08-51.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...


Processus mémoire :
C:\DOCUME~1\ALLUSE~1\APPLIC~1\89961538\89961538.exe => Supprimé et mis en quarantaine

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: (no name) - {79925572-7253-7EE0-119A-9894F0915DF1} - C:\PROGRA~1\NURBBI~1\corn trust.exe => Clé supprimée avec succès
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}] => Clé supprimée avec succès
[HKCR\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}] => Clé supprimée avec succès
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} () - http://www.whenusearch.com/WUInstSECS.cab => Clé supprimée avec succès
[HKLM\SOFTWARE\Classes\CLSID\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}] => Clé supprimée avec succès
[HKCR\CLSID\{E2F2B9D0-96B9-4B25-B90C-636ECB207D18}] => Clé supprimée avec succès
O23 - Service: Remote Logging Client (WksPatch) - C:\WINDOWS\System32\drivers\svchost.exe => Clé supprimée avec succès

Valeur du Registre :
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll => Valeur supprimée avec succès
O4 - HKLM\..\Run: [CMESys] C:\Program Files\Fichiers communs\CMEII\CMESys.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [dentbagsacidmode] C:\Documents and Settings\All Users\Application Data\iso flag dent bags\Meal bone.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [dart shim] C:\DOCUME~1\LAURENCE\APPLIC~1\FLAPBO~1\Warn kind copy.exe => Valeur supprimée avec succès
O4 - HKLM\..\Run: [89961538] C:\DOCUME~1\ALLUSE~1\APPLIC~1\89961538\89961538.exe => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\Ask.com => Supprimé et mis en quarantaine
C:\Program Files\Gator.com => Supprimé et mis en quarantaine
C:\Program Files\Registry Cleaner Trial => Supprimé et mis en quarantaine
C:\Program Files\WinFixer 2005 => Supprimé et mis en quarantaine
C:\Program Files\Fichiers Communs\CMEII => Supprimé et mis en quarantaine
C:\Program Files\Fichiers Communs\WinSoftware => Supprimé et mis en quarantaine

Fichier :
c:\progra~1\nurbbi~1\corn trust.exe => Fichier absent
c:\program files\ask.com => Fichier absent
c:\program files\fichiers communs\cmeii\cmesys.exe => Fichier absent
c:\documents and settings\all users\application data\iso flag dent bags\meal bone.exe => Fichier absent
c:\docume~1\laurence\applic~1\flapbo~1\warn kind copy.exe => Fichier absent
c:\docume~1\alluse~1\applic~1\89961538\89961538.exe => Fichier absent
O4 - Global Startup: PrecisionTime.lnk - C:\Program Files\PrecisionTime\PrecisionTime.exe => Supprimé et mis en quarantaine
O4 - Startup: siszyd32.exe => Supprimé et mis en quarantaine
c:\documents and settings\laurence\menu démarrer\programmes\démarrage\siszyd32.exe => Fichier supprimé au reboot
c:\windows\system32\drivers\svchost.exe => Fichier absent
c:\windows\tasks\scheduled update for ask toolbar.job => Supprimé et mis en quarantaine

Logiciel :
O42 - Logiciel: Registry Cleaner => Logiciel absent

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 8
Valeur du Registre : 5
Elément de données du Registre : 0
Dossier : 6
Fichier : 11
Logiciel : 1
Autre : 0


End of the scan


Merci encore pour la réponse de hier
12 Janvier 2010 18:14:19

hello,


impec .... fais la suite maintenant ... ;) 
12 Janvier 2010 19:10:18

Et voici le rapport Malwarebytes

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3548
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/01/2010 19:00:38
mbam-log-2010-01-12 (19-00-38).txt

Type de recherche: Examen rapide
Eléments examinés: 209022
Temps écoulé: 44 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 13
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 8
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\syswebtelecom.syswebtelecom (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{639581d0-8376-4073-b73b-45993fa45156} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{66b0c472-a6b5-4e86-8330-f4875af90929} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{efb22865-f3bc-4309-adfa-c8e078a7f762} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{21de6877-97c0-4fc7-9c16-666b996db4a2} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{ca356d79-679b-4b4c-8e49-5af97014f4c1} (Adware.Starware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d49e9d35-254c-4c6a-9d17-95018d228ff5} (Adware.Starware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f919fbd3-a96b-4679-af26-f551439bb5fd} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{efb22865-f3bc-4309-adfa-c8e078a7f762} (Trojan.Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Screensavers.com (Adware.Comet) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\89961538 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Installer (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Installer\bin (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Installer\Ready (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Installer\temp (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Installer\Upload (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Wallpaper (Adware.Comet) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\delete.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\~TM1ED.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Installer\bin\iebyterange.xml (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Installer\bin\iebyterange.xml.backup (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Installer\temp\dm5B.tmp (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Installer\temp\mstub-pal_ncr_qt_a359_r16934.exe (Adware.Comet) -> Quarantined and deleted successfully.
C:\Program Files\Screensavers.com\Wallpaper\Shrek 2 - Puss in Boots.jpg (Adware.Comet) -> Quarantined and deleted successfully.
C:\Documents and Settings\LAURENCE\Menu Démarrer\Programmes\Démarrage\siszyd32.exe (Trojan.Agent) -> Delete on reboot.
C:\Documents and Settings\LAURENCE\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
C:\Documents and Settings\LAURENCE\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\NetworkService\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.
12 Janvier 2010 19:28:59

bien


on continue :



1- Télécharge CCleaner :
ici http://www.infos-du-net.com/telecharger/CCleaner,0301-1...
ou ici http://www.commentcamarche.net/telecharger/telecharger-...

Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.h...


---> Utilisation :
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


==========================

2- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )


3- Rends toi sur ce site :

http://www.virustotal.com/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\WINDOWS\system32\drivers\tothwnt.sys

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note .

Copie le dans ta prochaine réponse et attends la suite ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton "Ré-analyse le fichier maintenant" )

petit tuto > http://www.commentcamarche.net/faq/sujet-8633-legitimit...

12 Janvier 2010 20:05:23

CCleaner me propose de "créer une sauvegarde des clés du registre ", j'en suis à l'étape de réparation des erreures.
Est ce que je dois accepter ou pas?
12 Janvier 2010 20:10:53

re,

Citation :
Est ce que je dois accepter ou pas?


> non, pas besoin ....
12 Janvier 2010 20:15:04

très bien , merci
12 Janvier 2010 21:46:04

J'ai un souci avec l'envoi du fichier sur le site virustotal, la connexion internet est tellement lente que la navigateur (google chrome) fait apparaitre une fenêtre m'informant que la page ne répond plus, empêchant de ce fait l'envoi du fichier.
Est ce que je persévère ou existe t'il une autre solution?
12 Janvier 2010 22:26:42

re,


utilise Internet Exploreur et non Chrome stp ....

poste moi le rapport si cela fonctionne ....


12 Janvier 2010 22:41:48

En effet, avec internet explorer ça ne se bloque pas par contre, la seule ligne qui apparait est la suivante :

0 bytes size received / Se ha recibido un archivo vacio
12 Janvier 2010 22:54:05

re,


la suite dans l'ordre :



1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes .


====================


2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto ( aide ) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
    image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gi...
    *Une fois la console installée,
    image > http://img.photobucket.com/albums/v706/ried7/whatnext.p...
    Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .


    > Poste le rapport Combofix pour analyse et attends la suite ...
    12 Janvier 2010 23:45:14

    J'ai une question pratique :
    l'installation de la console de récupération prend pas mal de temps, j'en suis qu'à 14% alors que ça fait bien 40/45min que je l'ai lancée.
    Puis je, en laissant l'ordinateur allumé, aller me coucher et du coup laisser à ma mère le soin demain de finir ces étapes ou alors je finirais demain en rentrant de la fac (dans ce cas là l'analyse ne sera pas lancée avant demain),
    Ou alors je reste et j'attends ?

    En tout cas, encore une fois mille merci pour cette aide précieuse.
    12 Janvier 2010 23:50:13

    re,


    ferme ComboFix, déconnecte toi d'internet et laisse le PC alumé si possible ... reprends toi même la manipe depuis le début à ton retour, c'est mieux ..... :D 


    A demain ... :hello: 
    12 Janvier 2010 23:54:13

    cool merci (et en effet vaut mieux que ce soit moi^^)
    ben à demain alors!
    et bonne nuit!
    13 Janvier 2010 21:10:27

    Bonsoir,
    J'ai enfin pu réaliser l'analyse via Combofix dont voici le rapport :
    Par contre, il m'est impossible de me connecter sur internet, via l'ordi infecté, du coup je poste à partir de mon propre ordinateur!
    Merci encore pour le temps accordé!
    J'attends la suite

    ComboFix 10-01-13.03 - LAURENCE 13/01/2010 19:52:41.1.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.447.178 [GMT 1:00]
    Lancé depuis: c:\documents and settings\LAURENCE\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\LAURENCE\Application Data\Desktopicon
    c:\documents and settings\LAURENCE\Application Data\Desktopicon\eBayShortcuts.exe
    c:\documents and settings\LAURENCE\Cookies\hpothb07.dat
    c:\documents and settings\OLIVE\Cookies\hpothb07.dat
    c:\recycler\S-1-5-21-284187514-2353766874-298605087-1003
    c:\windows\bobsaver.exe
    c:\windows\bobsaver.scr
    c:\windows\Downloaded Program Files\RdxIE.dll
    c:\windows\system32\drivers\ss.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_WKSPATCH
    -------\Service_StreamSurge


    ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-13 au 2010-01-13 ))))))))))))))))))))))))))))))))))))
    .

    2010-01-12 18:36 . 2010-01-12 18:36 -------- d-----w- c:\program files\CCleaner
    2010-01-12 18:33 . 2010-01-12 21:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
    2010-01-12 18:33 . 2010-01-12 18:33 -------- d-----w- c:\documents and settings\LAURENCE\Application Data\Yahoo!
    2010-01-11 22:12 . 2010-01-11 22:17 -------- d-----w- C:\Lop SD
    2010-01-11 21:43 . 2010-01-11 22:01 -------- d-----w- C:\ToolBar SD
    2010-01-11 20:42 . 2010-01-13 19:23 763904 ----a-w- c:\windows\system32\drivers\tothwnt.sys
    2010-01-11 20:15 . 2010-01-12 17:08 -------- d-----w- c:\program files\ZHPDiag
    2010-01-11 20:12 . 2008-04-13 19:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
    2010-01-11 20:12 . 2008-04-13 19:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
    2010-01-11 19:18 . 2010-01-11 19:18 -------- d-----w- c:\documents and settings\LAURENCE\Application Data\Malwarebytes
    2010-01-11 19:18 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-11 19:18 . 2010-01-11 19:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-01-11 19:18 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-11 19:18 . 2010-01-11 19:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-01-11 19:10 . 2008-04-13 19:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
    2010-01-11 19:10 . 2008-04-13 19:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
    2010-01-11 19:09 . 2008-04-13 19:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
    2010-01-11 19:09 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
    2010-01-11 19:08 . 2010-01-11 19:08 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
    2009-12-19 11:29 . 2009-12-19 11:29 -------- d-----w- c:\documents and settings\LAURENCE\Application Data\Apple Computer

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-01-13 19:22 . 2003-10-15 18:59 2623370 ----a-w- c:\windows\system32\perfh00C.dat
    2010-01-13 19:22 . 2003-10-15 18:59 931936 ----a-w- c:\windows\system32\perfc00C.dat
    2010-01-12 22:01 . 2003-12-22 15:03 93688 ----a-w- c:\documents and settings\LAURENCE\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-01-12 18:33 . 2004-09-03 13:25 -------- d-----w- c:\program files\Yahoo!
    2009-12-23 12:28 . 2004-09-06 18:18 93688 ----a-w- c:\documents and settings\MAXIME\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-12-13 11:21 . 2009-12-13 11:22 411368 ----a-w- c:\windows\system32\deploytk.dll
    2009-12-13 11:20 . 2009-12-13 11:20 -------- d-----w- c:\program files\Java
    2009-12-13 11:20 . 2009-12-13 11:20 152576 ----a-w- c:\documents and settings\LAURENCE\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
    2009-12-13 11:19 . 2009-12-13 11:19 79488 ----a-w- c:\documents and settings\LAURENCE\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
    2009-12-13 09:36 . 2009-12-13 09:36 -------- d-----w- c:\program files\MSBuild
    2009-12-13 09:36 . 2009-12-13 09:36 -------- d-----w- c:\program files\Reference Assemblies
    2009-12-13 09:06 . 2004-03-07 17:46 -------- d-----w- c:\documents and settings\MAXIME\Application Data\AdobeUM
    2009-12-13 09:06 . 2004-02-17 10:59 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2009-12-10 18:32 . 2009-10-31 09:37 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-12-09 21:45 . 2009-12-05 14:16 -------- d-----w- c:\program files\Microsoft Silverlight
    2009-12-05 14:16 . 2009-12-05 13:56 -------- d-----w- c:\program files\Windows Live
    2009-12-05 14:03 . 2006-11-28 17:40 -------- d-----w- c:\program files\Windows Live Toolbar
    2009-12-05 14:02 . 2009-12-05 14:02 -------- d-----w- c:\program files\Microsoft Sync Framework
    2009-12-05 14:01 . 2009-12-05 14:01 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
    2009-12-05 13:58 . 2009-12-05 13:58 -------- d-----w- c:\program files\Microsoft
    2009-12-05 13:57 . 2009-12-05 13:57 -------- d-----w- c:\program files\Windows Live SkyDrive
    2009-11-18 14:41 . 2009-11-18 12:59 -------- d-----w- c:\documents and settings\MAXIME\Application Data\Apple Computer
    2009-11-18 13:00 . 2009-11-18 12:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
    2009-11-18 12:58 . 2009-11-18 12:56 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
    2009-11-18 12:58 . 2009-11-18 12:56 -------- d-----w- c:\program files\iTunes
    2009-11-18 12:56 . 2009-11-18 12:56 -------- d-----w- c:\program files\iPod
    2009-11-18 12:56 . 2009-11-18 12:51 -------- d-----w- c:\program files\Fichiers communs\Apple
    2009-11-18 12:55 . 2009-11-18 12:55 -------- d-----w- c:\program files\Bonjour
    2009-11-18 12:55 . 2009-11-18 12:54 -------- d-----w- c:\program files\QuickTime
    2009-11-18 12:54 . 2004-05-01 11:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
    2009-11-18 12:53 . 2009-11-18 12:53 -------- d-----w- c:\program files\Apple Software Update
    2009-10-29 07:42 . 2004-07-07 16:59 916480 ----a-w- c:\windows\system32\wininet.dll
    2009-10-28 19:58 . 2009-10-28 19:58 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
    2009-10-21 05:39 . 2004-08-19 23:09 75776 ----a-w- c:\windows\system32\strmfilt.dll
    2009-10-21 05:39 . 2004-08-19 23:09 25088 ----a-w- c:\windows\system32\httpapi.dll
    2009-10-20 16:20 . 2004-08-04 06:00 265728 ------w- c:\windows\system32\drivers\http.sys
    2005-01-21 00:53 . 2005-12-03 16:27 45056 ------r- c:\program files\SetAttrib.exe
    2006-07-19 11:15 . 2006-07-19 11:15 60518 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
    2006-07-19 11:15 . 2006-07-19 11:15 49248 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
    2006-07-19 11:15 . 2006-07-19 11:15 165992 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
    2005-05-05 19:52 . 2005-05-05 19:52 56 --sh--r- c:\windows\system32\5A60CFA754.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-07-28 49152]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
    "MessengerPlus3"="c:\program files\Messenger Plus! 3\MsgPlus.exe" [2006-10-02 190024]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-01 68856]
    "Google Update"="c:\documents and settings\LAURENCE\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-05-26 133104]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-07-28 4841472]
    "nwiz"="nwiz.exe" [2003-07-28 323584]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-05 417792]
    "MessengerPlus3"="c:\program files\Messenger Plus! 3\MsgPlus.exe" [2006-10-02 190024]
    "NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]
    "LaunchPDeviceConn"="c:\program files\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe" [2005-07-05 299008]
    "VX1000"="c:\windows\vVX1000.exe" [2006-10-13 707376]
    "LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2006-10-13 277296]
    "BJCFD"="c:\program files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 376912]
    "F5D9050"="c:\program files\Belkin\F5D9050\Belkinwcui.exe" [2006-07-20 1617920]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
    "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-13 149280]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
    NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2006-10-27 118784]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Real\\RealOne Player\\realplay.exe"=
    "c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
    "c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
    "c:\\Program Files\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [31/10/2009 10:37 108289]
    R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [05/12/2009 15:16 54752]
    S3 f5b09746-1910-4239-bc5d-bb7f33eb9b8c;f5b09746-1910-4239-bc5d-bb7f33eb9b8c;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]
    S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - tothwnt

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3409234390-3909131989-4146922856-1006Core.job
    - c:\documents and settings\LAURENCE\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-05-26 17:22]

    2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3409234390-3909131989-4146922856-1006UA.job
    - c:\documents and settings\LAURENCE\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-05-26 17:22]

    2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3409234390-3909131989-4146922856-1009Core.job
    - c:\documents and settings\MAXIME\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-08-01 12:24]

    2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3409234390-3909131989-4146922856-1009UA.job
    - c:\documents and settings\MAXIME\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-08-01 12:24]

    2010-01-13 c:\windows\Tasks\User_Feed_Synchronization-{6A3BFAC7-328F-4709-BF71-BB8BCF643EBF}.job
    - c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    mWindow Title =
    uInternet Settings,ProxyOverride = 127.0.0.1
    IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
    IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    IE: Ouvrir l'image dans &Microsoft PhotoDraw - c:\progra~1\MI1933~1\Office\1036\phdintl.dll/phdContext.htm
    DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - hxxps://www.virginmega.fr/DownloadManager/Release/Prod/DownMan....
    FF - ProfilePath - c:\documents and settings\LAURENCE\Application Data\Mozilla\Firefox\Profiles\9oukv1ec.default\
    FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
    FF - component: c:\program files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components.win\googletoolbar.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    WebBrowser-{54872C9E-B180-F7AE-90D7-7A1ACB76F101} - (no file)
    HKLM-Run-Wizard - (no file)
    HKLM-Run-FirstSteps - (no file)
    HKLM-Run-StandardInstall - (no file)
    HKU-Default-Run-ALUAlert - c:\program files\Symantec\LiveUpdate\ALUNotify.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-01-13 20:20
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tothwnt]

    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(3552)
    c:\program files\Messenger Plus! 3\MsgPlusLoader.dll
    c:\progra~1\WINDOW~2\wmpband.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Microsoft LifeCam\MSCamS32.exe
    c:\windows\System32\nvsvc32.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\program files\iPod\bin\iPodService.exe
    c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
    c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
    c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-01-13 20:35:39 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-01-13 19:35

    Avant-CF: 45 258 088 448 octets libres
    Après-CF: 48 669 683 712 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

    - - End Of File - - B40E30EB1FB0F0AFA1924B1A3D696033

    13 Janvier 2010 21:46:39

    re,


    pour ta connection internet répare là en t'aidant de ceci > http://www.bleepingcomputer.com/combofix/fr/comment-uti...



    un rootkit s'accroche ....


    la suite :


    1- Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

    Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :


    Registry::
    [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\tothwnt]

    Driver::
    tothwnt

    Rootkit::
    c:\windows\system32\drivers\tothwnt.sys




    Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valide ...


    2- Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gi... )

    Cette manipulation va relancer combofix .

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    ! Ne touches à rien tant que le scan n'est pas terminé !

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


    Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...


    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )


    13 Janvier 2010 23:11:12

    Voici le nouveau rapport, par contre je n'arrive toujours pas à me connecter à internet

    ComboFix 10-01-13.03 - LAURENCE 13/01/2010 22:28:25.2.1 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.447.133 [GMT 1:00]
    Lancé depuis: c:\documents and settings\LAURENCE\Bureau\ComboFix.exe
    Commutateurs utilisés :: c:\documents and settings\LAURENCE\Bureau\CFScript.txt
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_TOTHWNT
    -------\Service_tothwnt


    ((((((((((((((((((((((((((((( Fichiers créés du 2009-12-13 au 2010-01-13 ))))))))))))))))))))))))))))))))))))
    .

    2010-01-12 18:36 . 2010-01-12 18:36 -------- d-----w- c:\program files\CCleaner
    2010-01-12 18:33 . 2010-01-12 21:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Yahoo! Companion
    2010-01-12 18:33 . 2010-01-12 18:33 -------- d-----w- c:\documents and settings\LAURENCE\Application Data\Yahoo!
    2010-01-11 22:12 . 2010-01-11 22:17 -------- d-----w- C:\Lop SD
    2010-01-11 21:43 . 2010-01-11 22:01 -------- d-----w- C:\ToolBar SD
    2010-01-11 20:15 . 2010-01-12 17:08 -------- d-----w- c:\program files\ZHPDiag
    2010-01-11 20:12 . 2008-04-13 19:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
    2010-01-11 20:12 . 2008-04-13 19:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
    2010-01-11 19:18 . 2010-01-11 19:18 -------- d-----w- c:\documents and settings\LAURENCE\Application Data\Malwarebytes
    2010-01-11 19:18 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-11 19:18 . 2010-01-11 19:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-01-11 19:18 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-01-11 19:18 . 2010-01-11 19:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-01-11 19:10 . 2008-04-13 19:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
    2010-01-11 19:10 . 2008-04-13 19:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
    2010-01-11 19:09 . 2008-04-13 19:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
    2010-01-11 19:09 . 2008-04-13 19:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
    2010-01-11 19:08 . 2010-01-11 19:08 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
    2009-12-19 11:29 . 2009-12-19 11:29 -------- d-----w- c:\documents and settings\LAURENCE\Application Data\Apple Computer

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-01-13 21:48 . 2003-10-15 18:59 2625290 ----a-w- c:\windows\system32\perfh00C.dat
    2010-01-13 21:48 . 2003-10-15 18:59 932706 ----a-w- c:\windows\system32\perfc00C.dat
    2010-01-12 22:01 . 2003-12-22 15:03 93688 ----a-w- c:\documents and settings\LAURENCE\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-01-12 18:33 . 2004-09-03 13:25 -------- d-----w- c:\program files\Yahoo!
    2009-12-23 12:28 . 2004-09-06 18:18 93688 ----a-w- c:\documents and settings\MAXIME\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2009-12-13 11:21 . 2009-12-13 11:22 411368 ----a-w- c:\windows\system32\deploytk.dll
    2009-12-13 11:20 . 2009-12-13 11:20 -------- d-----w- c:\program files\Java
    2009-12-13 11:20 . 2009-12-13 11:20 152576 ----a-w- c:\documents and settings\LAURENCE\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
    2009-12-13 11:19 . 2009-12-13 11:19 79488 ----a-w- c:\documents and settings\LAURENCE\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
    2009-12-13 09:36 . 2009-12-13 09:36 -------- d-----w- c:\program files\MSBuild
    2009-12-13 09:36 . 2009-12-13 09:36 -------- d-----w- c:\program files\Reference Assemblies
    2009-12-13 09:06 . 2004-03-07 17:46 -------- d-----w- c:\documents and settings\MAXIME\Application Data\AdobeUM
    2009-12-13 09:06 . 2004-02-17 10:59 -------- d-----w- c:\program files\Fichiers communs\Adobe
    2009-12-10 18:32 . 2009-10-31 09:37 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
    2009-12-09 21:45 . 2009-12-05 14:16 -------- d-----w- c:\program files\Microsoft Silverlight
    2009-12-05 14:16 . 2009-12-05 13:56 -------- d-----w- c:\program files\Windows Live
    2009-12-05 14:03 . 2006-11-28 17:40 -------- d-----w- c:\program files\Windows Live Toolbar
    2009-12-05 14:02 . 2009-12-05 14:02 -------- d-----w- c:\program files\Microsoft Sync Framework
    2009-12-05 14:01 . 2009-12-05 14:01 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
    2009-12-05 13:58 . 2009-12-05 13:58 -------- d-----w- c:\program files\Microsoft
    2009-12-05 13:57 . 2009-12-05 13:57 -------- d-----w- c:\program files\Windows Live SkyDrive
    2009-11-18 14:41 . 2009-11-18 12:59 -------- d-----w- c:\documents and settings\MAXIME\Application Data\Apple Computer
    2009-11-18 13:00 . 2009-11-18 12:51 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple
    2009-11-18 12:58 . 2009-11-18 12:56 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}
    2009-11-18 12:58 . 2009-11-18 12:56 -------- d-----w- c:\program files\iTunes
    2009-11-18 12:56 . 2009-11-18 12:56 -------- d-----w- c:\program files\iPod
    2009-11-18 12:56 . 2009-11-18 12:51 -------- d-----w- c:\program files\Fichiers communs\Apple
    2009-11-18 12:55 . 2009-11-18 12:55 -------- d-----w- c:\program files\Bonjour
    2009-11-18 12:55 . 2009-11-18 12:54 -------- d-----w- c:\program files\QuickTime
    2009-11-18 12:54 . 2004-05-01 11:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer
    2009-11-18 12:53 . 2009-11-18 12:53 -------- d-----w- c:\program files\Apple Software Update
    2009-10-29 07:42 . 2004-07-07 16:59 916480 ------w- c:\windows\system32\wininet.dll
    2009-10-28 19:58 . 2009-10-28 19:58 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe
    2009-10-21 05:39 . 2004-08-19 23:09 75776 ----a-w- c:\windows\system32\strmfilt.dll
    2009-10-21 05:39 . 2004-08-19 23:09 25088 ----a-w- c:\windows\system32\httpapi.dll
    2009-10-20 16:20 . 2004-08-04 06:00 265728 ------w- c:\windows\system32\drivers\http.sys
    2005-01-21 00:53 . 2005-12-03 16:27 45056 ------r- c:\program files\SetAttrib.exe
    2006-07-19 11:15 . 2006-07-19 11:15 60518 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
    2006-07-19 11:15 . 2006-07-19 11:15 49248 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
    2006-07-19 11:15 . 2006-07-19 11:15 165992 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
    2005-05-05 19:52 . 2005-05-05 19:52 56 --sh--r- c:\windows\system32\5A60CFA754.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvMediaCenter"="c:\windows\System32\NVMCTRAY.DLL" [2003-07-28 49152]
    "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
    "MessengerPlus3"="c:\program files\Messenger Plus! 3\MsgPlus.exe" [2006-10-02 190024]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-01 68856]
    "Google Update"="c:\documents and settings\LAURENCE\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2009-05-26 133104]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-07-28 4841472]
    "nwiz"="nwiz.exe" [2003-07-28 323584]
    "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-09-05 417792]
    "MessengerPlus3"="c:\program files\Messenger Plus! 3\MsgPlus.exe" [2006-10-02 190024]
    "NeroCheck"="c:\windows\system32\\NeroCheck.exe" [2001-07-09 155648]
    "LaunchPDeviceConn"="c:\program files\Philips\Philips Device Transfer Pop-up\PDeviceConn.exe" [2005-07-05 299008]
    "VX1000"="c:\windows\vVX1000.exe" [2006-10-13 707376]
    "LifeCam"="c:\program files\Microsoft LifeCam\LifeExp.exe" [2006-10-13 277296]
    "BJCFD"="c:\program files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 376912]
    "F5D9050"="c:\program files\Belkin\F5D9050\Belkinwcui.exe" [2006-07-20 1617920]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
    "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-13 149280]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
    HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
    Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
    Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588]
    NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2006-10-27 118784]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Real\\RealOne Player\\realplay.exe"=
    "c:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "c:\\Program Files\\Microsoft LifeCam\\LifeExp.exe"=
    "c:\\Program Files\\Microsoft LifeCam\\LifeCam.exe"=
    "c:\\Program Files\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
    "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [31/10/2009 10:37 108289]
    R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [05/12/2009 15:16 54752]
    S3 f5b09746-1910-4239-bc5d-bb7f33eb9b8c;f5b09746-1910-4239-bc5d-bb7f33eb9b8c;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]
    S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    Contenu du dossier 'Tâches planifiées'

    2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3409234390-3909131989-4146922856-1006Core.job
    - c:\documents and settings\LAURENCE\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-05-26 17:22]

    2010-01-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3409234390-3909131989-4146922856-1006UA.job
    - c:\documents and settings\LAURENCE\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-05-26 17:22]

    2010-01-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3409234390-3909131989-4146922856-1009Core.job
    - c:\documents and settings\MAXIME\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-08-01 12:24]

    2010-01-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3409234390-3909131989-4146922856-1009UA.job
    - c:\documents and settings\MAXIME\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2009-08-01 12:24]

    2010-01-13 c:\windows\Tasks\User_Feed_Synchronization-{6A3BFAC7-328F-4709-BF71-BB8BCF643EBF}.job
    - c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
    .
    .
    ------- Examen supplémentaire -------
    .
    uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
    mWindow Title =
    uInternet Settings,ProxyOverride = 127.0.0.1
    IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm
    IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
    IE: Ouvrir l'image dans &Microsoft PhotoDraw - c:\progra~1\MI1933~1\Office\1036\phdintl.dll/phdContext.htm
    DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    DPF: {87AF076E-D86D-4E87-ADDD-F05804E1F150} - hxxps://www.virginmega.fr/DownloadManager/Release/Prod/DownMan....
    FF - ProfilePath - c:\documents and settings\LAURENCE\Application Data\Mozilla\Firefox\Profiles\9oukv1ec.default\
    FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
    FF - component: c:\program files\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components.win\googletoolbar.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.cookie.p3plevel", 1); // 0=low, 1=medium, 2=high, 3=custom
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.enablePad", false); // Allow client to do proxy autodiscovery
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.default", "chrome://branding/content/searchconfig.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.search.param.Google.1.custom", "chrome://branding/content/searchconfig.properties");
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-01-13 22:46
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(764)
    c:\program files\Messenger Plus! 3\MsgPlusLoader.dll
    c:\progra~1\WINDOW~2\wmpband.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\Avira\AntiVir Desktop\avguard.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\program files\Microsoft LifeCam\MSCamS32.exe
    c:\windows\System32\nvsvc32.exe
    c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\RUNDLL32.EXE
    c:\program files\iPod\bin\iPodService.exe
    c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
    c:\program files\HP\Digital Imaging\bin\hpqbam08.exe
    c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-01-13 22:58:57 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-01-13 21:58
    ComboFix2.txt 2010-01-13 19:35

    Avant-CF: 48 669 802 496 octets libres
    Après-CF: 48 635 256 832 octets libres

    - - End Of File - - EB0F28B85FE5D83C1DEAC0CCD0CFF2C2
    13 Janvier 2010 23:22:33

    Ah oui, windows me propose d'installer des mises à jour au moment d'éteindre/redémarrer l'ordinateur, dois je accepter?
    Merci.
    14 Janvier 2010 01:01:04

    re,


    pour les mise à jour , installe les quand tu éteindra le PC se soir ...



    pour internet , c'est des choses qui arrivent ( on va réparer cela ) ... sinon , le PC doit mieux tourner non ?




    fais ce qui suit :


    1- Télécharge se petit soft , ZEB_RESTORE :

    ici http://telechargement.zebulon.fr/zeb-restore.html
    ou http://forum.zebulon.fr/index.php?act=attach&type=bloge...

    Enregistre ce fichier sur ton<gras> bureau</gras>.

    ! Ferme toutes tes applications ( navigateur compris ) et déconnecte toi !

    -Clique droit sur Zeb-Restore.zip ==> "Extraire tout" choisis comme lieu d'enregistrement le bureau .
    -Ouvre le dossier ZR_1.0.0.37 ==> double clique sur Zeb-Restore.exe pour lancer l'outil.

    ---> Coche les cases devant ( et uniquement celles-ci ! ) :


    * Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
    * Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
    * Réinitialiser Fichier Hosts : réinitialise le fichier Hosts



    -Clique sur : " Restaurer " et laisse faire ( c'est assez rapide ) ....

    --> Une fois fait, redémarre ton PC pour que les répartions prennent effet .


    ensuite ré-essaye de réparer ta connexion comme je te l'ai indiqué tout à l'heure ...


    =======================


    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
    14 Janvier 2010 21:07:21

    Me voici enfin de retour.
    Tout d'abords, le PC tourne très bien, par contre toujours pas de connexion internet (on utilise une clé usb pour capter le wifi, est ce que ça pourrais être la cause? Faut il réinstaller le truc?).

    Une autre question : pour une étape tu m'avais demandé de cocher "Afficher les fichiers et dossiers cachés", et de décocher "Masquer les extensions des fichiers dont le type est connu" et "masquer les fichiers du système". A quel moment faudra t'il que je fasse la manipulation inverse?


    Voici le lien pour le rapport "loupe" ZHPDiag :
    http://www.cijoint.fr/cjlink.php?file=cj201001/cijTScJY...

    Et voici le lien pour le rapport "loupe + dossier" :
    http://www.cijoint.fr/cjlink.php?file=cj201001/cijMXI7D...

    En tout cas, c'est vraiment sympa de nous aider! Merci encore
    14 Janvier 2010 21:35:01

    Re,


    Citation :
    A quel moment faudra t'il que je fasse la manipulation inverse?


    maintenant tu peux ....


    Donc tu as un dongle pour te connecter ( ce qui n'est pas terrible d'ailleurs , une carte PCI c'est mieux ) ....


    fait une réinstalle du "truc" et dis moi si tu as récupéré ta connection ... Puis je te donnerais la suite ...
    14 Janvier 2010 21:58:25

    C'est bon, j'ai récupéré la connexion!
    14 Janvier 2010 22:02:37

    impec ... :bounce: 



    on continue .... reste quelques merdouilles ....



    dans l'ordre :



    1- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau :
    http://www.genproc.com/GenProc.exe

    !! ferme tes applications en cours !!


    * double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

    * A la question "faites vous aidez sur un forum..." > clique sur "oui" .

    -> poste le contenu du rapport qui s'ouvre ...


    Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

    IMPORTANT : poste le rapport uniquement ! Ne suis pas les éventuelles consignes qu'il mentionne pour le moment ...


    =============================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici http://forum-aide-contre-virus.be/download/C_XX/AD-R.ex...

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "S" et tape sur [entrée] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
    (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
    Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html




    14 Janvier 2010 22:12:33

    voici le rapport de Gen Proc
    Rapport GenProc 2.660 [1] - 14/01/2010 à 22:06:14
    @ Windows XP Service Pack 3 - Mode normal
    @ Internet Explorer 8.0.6001.18702 [Navigateur par défaut]

    ~~ ECHEC DU TELECHARGEMENT DE CM ~~
    ~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~

    Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

    # Etape 1/ Télécharge :

    - Symantec RemGAIN http://securityresponse.symantec.com/avcenter/RemGAIN.e... sur le Bureau.


    Redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm ; Choisis ta session courante *** LAURENCE *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


    # Etape 2/

    Double-clique sur le fichier RemGAIN.exe que tu as téléchargé sur ton bureau. Patiente le temps du scan...

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste, dans la même réponse :

    - Le contenu du rapport RemGAIN.log situé sur le Bureau ;
    - Un nouveau rapport GenProc ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    ~~ Arguments de la procédure ~~


    # Détections [1] GenProc 2.660 14/01/2010 à 22:07:08
    Gain:le 14/01/2010 à 22:07:52 HKLM\SOFTWARE\Gator.com

    ----------------------------------------------------------------------
    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    ----------------------------------------------------------------------

    ~~ Fin à 22:08:26 ~~
    14 Janvier 2010 22:33:16

    voici le rapport de ad remover :

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_H | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 14.01.2010 à 18:48
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 22:14:40, 14/01/2010 | Mode Normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
    Nom du PC: NOM-FM5LXFXMBQU | Utilisateur actuel: LAURENCE

    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .

    C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    C:\DOCUME~1\LAURENCE\APPLIC~1\Microsoft\Internet Explorer\Quick Launch\Ebay.lnk
    C:\DOCUME~1\LAURENCE\MENUDM~1\Ebay.lnk
    .
    HKCU\software\Ask.com
    HKCU\software\AskToolbar
    HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    HKLM\software\classes\appid\GenericAskToolbar.DLL
    HKLM\software\classes\GenericAskToolbar.ToolbarWnd
    HKLM\software\classes\GenericAskToolbar.ToolbarWnd.1
    HKLM\software\classes\installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\Software\Classes\Interface\{17719B53-FAD1-11D4-A466-00508B5BA2DF}
    HKLM\Software\Classes\Interface\{17719B54-FAD1-11D4-A466-00508B5BA2DF}
    HKLM\Software\Classes\Interface\{3103E312-E1BB-49AB-80EB-0A92FCA78746}
    HKLM\Software\Classes\Interface\{7138714C-9819-4AB1-9A86-E7C413C9A99E}
    HKLM\Software\Classes\Interface\{7E33BC81-0818-11D5-B50D-00D0B77F0A6D}
    HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    HKLM\Software\Classes\Interface\{DA603411-0593-11D5-A46B-00508B5BA2DF}
    HKLM\Software\Classes\Interface\{F64B26C1-07DE-11D5-B50D-00D0B77F0A6D}
    HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    HKLM\Software\Classes\TypeLib\{60F63095-41EC-11D5-B558-00D0B77F0A6D}
    HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
    HKLM\Software\Classes\TypeLib\{94BEB7A2-36B7-46DC-8AD1-81A8332409C0}
    HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\software\microsoft\windows\currentversion\uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    HKU\s-1-5-21-3409234390-3909131989-4146922856-1006\software\Ask.com
    HKU\s-1-5-21-3409234390-3909131989-4146922856-1006\software\AskToolbar
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 1.5 [fr] *
    .
    Nom du profil: 9oukv1ec.default (LAURENCE)
    .
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Show_ToolBar: yes
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Use Search Asst: no
    Enable Browser Extensions: yes
    Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp
    Start Page Redirect Cache_TIMESTAMP: d67a7949d293ca01
    Start Page Redirect Cache AcceptLangs: fr
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Start Page: hxxp://www.msn.com/
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ============== Suspect (Cracks, Serials, ...) ==============
    .
    C:\Documents and Settings\ALAIN\Mes documents\Mes fichiers re‡us\Guitar Pro 4.1.0 + KeyGen.zip
    C:\Documents and Settings\ALAIN\Mes documents\Mes fichiers re‡us\Guitar Pro 4.1.0 + KeyGen\keygen.exe
    C:\Documents and Settings\ALAIN\Mes documents\Mes fichiers re‡us\Guitar Pro 4.1.0 + KeyGen\setup.exe
    .
    ===================================
    .
    4812 Octet(s) - C:\Ad-Report-SCAN[1].log
    .
    19 Fichier(s) - C:\DOCUME~1\LAURENCE\LOCALS~1\Temp
    5 Fichier(s) - C:\WINDOWS\Temp
    125 Fichier(s) - C:\WINDOWS\Prefetch
    .
    2 Fichier(s) - C:\Ad-Remover\BACKUP
    0 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 22:26:16 | 14/01/2010 - SCAN[1]
    .
    ============== E.O.F ==============
    .
    14 Janvier 2010 23:05:21

    bien ...



    dans l'ordre :


    1- suis les instructions données par le rapport de Genproc .

    ( Poste moi uniquement le rapport RemGAIN.log et ne relance pas Genproc )


    ========================

    2- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !


    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )


    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


    ============================

    3- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...



    15 Janvier 2010 01:34:56

    voici le rapport Remgain, par contre je ferais demain la 2nde étape (ad remover). Merci encore pour tout!

    rapport Remgain :
    Symantec Adware.GAIN Removal Tool 1.0.6

    Adware.GAIN has not been found on your computer.
    15 Janvier 2010 08:15:18

    Voici le rapport Adremover :

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_H | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 14.01.2010 à 18:48
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 7:43:41, 15/01/2010 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
    Nom du PC: NOM-FM5LXFXMBQU | Utilisateur actuel: LAURENCE

    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .

    C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    C:\DOCUME~1\LAURENCE\APPLIC~1\Microsoft\Internet Explorer\Quick Launch\Ebay.lnk
    C:\DOCUME~1\LAURENCE\MENUDM~1\Ebay.lnk

    (!) -- Fichiers temporaires supprimés.

    .
    HKCU\software\Ask.com
    HKCU\software\AskToolbar
    HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    HKLM\software\classes\appid\GenericAskToolbar.DLL
    HKLM\software\classes\GenericAskToolbar.ToolbarWnd
    HKLM\software\classes\GenericAskToolbar.ToolbarWnd.1
    HKLM\software\classes\installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\Software\Classes\Interface\{17719B53-FAD1-11D4-A466-00508B5BA2DF}
    HKLM\Software\Classes\Interface\{17719B54-FAD1-11D4-A466-00508B5BA2DF}
    HKLM\Software\Classes\Interface\{3103E312-E1BB-49AB-80EB-0A92FCA78746}
    HKLM\Software\Classes\Interface\{7138714C-9819-4AB1-9A86-E7C413C9A99E}
    HKLM\Software\Classes\Interface\{7E33BC81-0818-11D5-B50D-00D0B77F0A6D}
    HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    HKLM\Software\Classes\Interface\{DA603411-0593-11D5-A46B-00508B5BA2DF}
    HKLM\Software\Classes\Interface\{F64B26C1-07DE-11D5-B50D-00D0B77F0A6D}
    HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    HKLM\Software\Classes\TypeLib\{60F63095-41EC-11D5-B558-00D0B77F0A6D}
    HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
    HKLM\Software\Classes\TypeLib\{94BEB7A2-36B7-46DC-8AD1-81A8332409C0}
    HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    HKLM\software\microsoft\windows\currentversion\uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 1.5 [fr] *
    .
    Nom du profil: 9oukv1ec.default (LAURENCE)
    .
    (LAURENCE, prefs.js) Browser.search.defaultenginename, Google
    (LAURENCE, prefs.js) Browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
    (LAURENCE, prefs.js) Browser.search.selectedEngine, Google
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no
    Enable Browser Extensions: yes
    Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp
    Start Page Redirect Cache_TIMESTAMP: d67a7949d293ca01
    Start Page Redirect Cache AcceptLangs: fr
    Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Start Page: hxxp://fr.msn.com/
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://search.msn.com/spbasic.htm
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ============== Suspect (Cracks, Serials, ...) ==============
    .
    C:\Documents and Settings\ALAIN\Mes documents\Mes fichiers re‡us\Guitar Pro 4.1.0 + KeyGen.zip
    C:\Documents and Settings\ALAIN\Mes documents\Mes fichiers re‡us\Guitar Pro 4.1.0 + KeyGen\keygen.exe
    C:\Documents and Settings\ALAIN\Mes documents\Mes fichiers re‡us\Guitar Pro 4.1.0 + KeyGen\setup.exe
    .
    ===================================
    .
    5168 Octet(s) - C:\Ad-Report-CLEAN[1].log
    5151 Octet(s) - C:\Ad-Report-SCAN[1].log
    .
    7 Fichier(s) - C:\DOCUME~1\LAURENCE\LOCALS~1\Temp
    5 Fichier(s) - C:\WINDOWS\Temp
    0 Fichier(s) - C:\WINDOWS\Prefetch
    .
    19 Fichier(s) - C:\Ad-Remover\BACKUP
    4 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 7:54:18 | 15/01/2010 - CLEAN[1]
    .
    ============== E.O.F ==============
    .
    15 Janvier 2010 08:46:09

    yop,


    vu ....



    le new ZHPDaig maintenant .... :D 


    15 Janvier 2010 20:22:48

    hello,


    * lance Ad-Remover et choisis au menu principale l'option pour le désinstaller .
    * Une fois la désinstalle faite , suprime ce dossier (et son contenu) si présent :
    C:\Ad-Remover





    Puis fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!


    A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    > Là tu décoches la case devant ZHPDiag !


    > Enfin clique en bas sur "Nettoyer" .


    Laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    -> Copie/colle le contenu de ce rapport pour analyse ...

    ( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt )

    Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage, fait le !



    B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

    Au message de confirmation , clique sur "Ok" .


    Puis ferme ZHPFix ...


    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .


    ======================================

    3- Télécharge et installe le logiciel HijackThis :

    ici http://www.trendsecure.com/portal/en-US/_download/HJTIn...
    ou ici http://www.commentcamarche.net/telecharger/telecharger-...

    > Clique sur le setup pour lancer l'installe :
    * laisse toi guider et ne modifie pas les paramètres d'installation .
    * A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .

    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    C:\program files\Trend Micro\HijackThis\HijackThis.exe .

    ( ne fais pas de scan pour le moment )


    ======================================

    4- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/ décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->"systeme"->" restauration système " ).


    ======================================

    5- utilise ton Av AntiVir ainsi ,


    mets le à jour si besoin .

    Aide AntiVir : http://www.malekal.com/tutorial_antivir.php


    Fais ce réglage supplémentaire :

    ***************************************
    Une fois AntiVir ouvert, clique sur "configuration" et coche bien la case " mode expert " :

    * mets toi sur "scanner"/"recherche" (à gauche) -> dans "fichiers", coche tous les fichiers et en dessous dans priorité scanner= élevé .
    coche aussi : autorisé l'arrêt , comme cela tu peux faire une pause pendant le scan si tu le desir.
    * toujours dans "recherche" -> "Autres réglages", coche les cases suivantes :
    > secteur d'amorçage lecteurs de rech.
    > Contrôler secteurs d'amorçage maître
    > Suivre les liens symboliques
    > Rech.Rootkit au dém. de la recherche
    et décoche :
    ignorer les fichiers hors ligne

    * mets toi sur "scanner"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification élevé ...
    * mets toi sur "scanner"/"recherche"/ "action en cas de résultat positif" -> coche " interactif" et choisis le mode "individuel" .

    * mets toi sur "Guard"/"recherche"/ "heuristique" -> Heuristique macrovirus = coché, et en dessous coche activer AHeAD et coche la case degré d'identification moyen ...


    ---> clique sur "OK" pour valider le réglage ..

    ****************************************

    Une fois fait, lance un scan complet de ton PC , mets tout ce qu'il peut trouver en "quarantaine" ...

    > poste moi le rapport obtenu ... Aide toi bien du tuto ;) 


    15 Janvier 2010 20:39:18

    Hum, j'ai une question une peu débile : comment être certaine que ad remover a bien été désinstallé?

    Je m'explique je suis quasi certaine d'avoir rentré la bonne lettre pour le désinstaller, mais rien ne se passe.
    Comme je m souviens que c'est justement là la "force de ce programme", je n'ose toucher à rien.
    Par contre dois-je m'attendre à un message ou au moins à la disparition de l'icône du bureau pour me confirmer la désinstallation?
    Autre hypothèse : j'ai entré la lettre qui correspondait à la commande échapper!
    15 Janvier 2010 20:45:07

    re,


    c'est pas grave ( bug au niveau de la désinstalle ) .... Supprime le dossier si présent comme demandé et passe directement à la suite ...


    :) 
    15 Janvier 2010 20:49:32

    Un message est apparue pendant l'utilisation du nettoyeur de tool de ZHPFix me disant que combofix avait détecté mon antivirus et me demande de le désactiver avant de cliquer sur ok, que dois -je faire?


    Edit : Je n'ai appuyé sur rien par contre le rapport de ZHPFix vient d'apparaitre.
    15 Janvier 2010 21:02:35

    oui .... ;) 
    15 Janvier 2010 21:13:47

    Voici le rapport ZHPfix :

    ZHPFix v1.12.25 by Nicolas Coolman - Rapport de suppression du 15/01/2010 20:51:36
    Fichier d'export Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.ht...


    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Dossier :
    C:\Qoobox => Supprimé et mis en quarantaine
    C:\Genproc => Supprimé et mis en quarantaine
    C:\Lop SD => Supprimé et mis en quarantaine
    C:\ToolBar SD => Supprimé et mis en quarantaine

    Fichier :
    c:\documents and settings\laurence\bureau\ad-r.exe => Supprimé et mis en quarantaine
    c:\combofix.txt => Supprimé et mis en quarantaine
    c:\documents and settings\laurence\bureau\rapport - genproc[1].url => Supprimé et mis en quarantaine
    c:\documents and settings\laurence\bureau\raccourci - genproc.lnk => Supprimé et mis en quarantaine
    c:\lopr.txt => Supprimé et mis en quarantaine
    c:\documents and settings\laurence\bureau\toolbarsd.exe => Supprimé et mis en quarantaine
    c:\tb.txt => Supprimé et mis en quarantaine

    Logiciel :
    O63 - Logiciel: AD-Remover => Logiciel supprimé avec succès
    O63 - Logiciel: ComboFix => Logiciel supprimé avec succès
    O63 - Logiciel: GenProc => Logiciel supprimé avec succès
    O63 - Logiciel: Lop SD => Logiciel supprimé avec succès
    O63 - Logiciel: Toolbar SD => Logiciel supprimé avec succès

    Script Registre :
    (Néant)

    Autre :
    (Néant)


    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 4
    Fichier : 7
    Logiciel : 5
    Autre : 0


    End of the scan
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS