Problème concernant un module introuvable ! Fermé

Question

Bonjour,
j'ai un problème depuis pas mal de temps déjà et je n'arrive pas à le résoudre.

Quand je démarre ma session, le message suivant s'affiche :

Erreur de chargement de C:\WINDOWS\System32\sprt_ads.dll

Pourriez-vous m'aider svp ?

Audrey · Accepted Answer

Je précise que mon problème concernant le module manquant est résolu (un grand merci à gen-hackman), mais j'ai toujours mon autre problème qui concerne un certain fichier "moix3.exe" :

Dès que je démarre ma session, mon écran reste bloquer comme ceci pendant à peu près 5 minutes :

https://www.hiboox.fr/

Puis la barre des taches ainsi que les icones du bureau et le menu Démarrer n'arrive qu'après ces 5 minutes !

Dans le 1er cadre en haut à gauche, il est écrit : 
 Paramètres personnalisés :
Définition des paramètres personnalisés pour :
C:\WINDOWS\system32:moix3.exe

Dans le cadre qui est situé au milieu de l'écran, il est écrit ceci :
UNLICENSED DEMO !
This application is protected by the demo version of Obsidium.
Do no distribute this application.
The full version will not display any messages.

Je précise qu'il me semble que c'est une personne de mes contacts Messenger qui m'a envoyer ce fichier, et je l'ai pris en croyant que c'était une image.
J'ai vérifié dans le système si le fichier existe mais il est introuvable ...

De plus, depuis que j'ai ce problème (cela fait environ 4 jours), je ne peux plus utiliser la touche qui permet de mettre des accents circonflexes ! Elle marche une fois sur deux, et c'est très embetant (et je suis sure que ce n'est pas un problème venant de mon clavier).

Merci de m'aider !

gen-hackman · Answer

salut :

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Audrey · Answer

Ok, merci pour ta réponse rapide.

Et le fichier Extras.txt, je peux le fermer ?

gen-hackman · Answer

mets le en lien avec l'autre stp tu me donneras donc 2 liens , un pour chaque texte

Audrey · Answer

Voilà les deux liens :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijXutvdLr.txt

http://www.cijoint.fr/cjlink.php?file=cj200906/cijT3enBbF.txt

Audrey · Answer

Voilà les deux liens :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijXutvdLr.txt

http://www.cijoint.fr/cjlink.php?file=cj200906/cijT3enBbF.txt

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

_________________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
______________________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

!!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

>> Reviens sur le forum, et

copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Audrey · Answer

Voilà, j'ai tout fait et ça m'a donné ceci (par contre, comment faire pour supprimer le fichier moix3 ? C'est une personne qui me l'avait envoyé via Messenger, et je crois que c'est un virus car ça fait planté ma session quand je l'ouvre) :

ComboFix 09-06-15.06 - Audrey 16/06/2009 13:27.1 - NTFSx86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.511.247 [GMT 2:00]
Lancé depuis: c:\documents and settings\Audrey\Bureau\ComboFix.exe
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\ContextTool
c:\program files\Mozilla Firefox\Components\d7caf2da-2457-d496-3f6a-185a62b90853.dll
c:\program files\outlook
c:\program files\ppatch~1
c:\program files\ymbols~1
c:\windows\Fonts\-
c:\windows\mcroso~1.net
c:\windows\system32\297f2300-8bbb-9fef-0c35-6874e58e306f.exe
c:\windows\system32\q1
c:\windows\system32\UpMedia
c:\documents and settings\Audrey\services.exe
c:\program files\setup.exe
c:\program files\ContextTool\ContextHelper.dat
c:\program files\ContextTool\pcre3.dll
c:\program files\ContextTool\uninstall.exe
c:\windows\BM3fe46279.txt
c:\windows\BM3fe46279.xml
c:\windows\mcroso~1.net\M?crosoft.NET\ctxad-574.0000
c:\windows\mcroso~1.net\M?crosoft.NET\ctxad-574.0001
c:\windows\mcroso~1.net\M?crosoft.NET\ctxad-574.0002
c:\windows\mcroso~1.net\M?crosoft.NET\ctxad-574.0003
c:\windows\mcroso~1.net\M?crosoft.NET\ctxad-574.0004
c:\windows\mcroso~1.net\M?crosoft.NET\ctxad-574.0005
c:\windows\mcroso~1.net\M?crosoft.NET\ctxad-574.0006
c:\windows\system32\bbebhkiu.ini
c:\windows\system32\bszip.dll
c:\windows\system32\cmd.com
c:\windows\system32\cont_dcads-remove.exe
c:\windows\system32\csomkfjx.ini
c:\windows\system32\dcads-remove.exe
c:\windows\system32\euseoofk.ini
c:\windows\system32\fkikvudc.ini
c:\windows\system32\ghbtnwml.ini
c:\windows\system32\hvmbkwcd.ini
c:\windows\system32\iucmaisg.ini
c:\windows\system32\jbjbysnr.ini
c:\windows\system32\jpjjnneo.ini
c:\windows\system32\kaxxkoda.ini
c:\windows\system32\kcnpoytu.ini
c:\windows\system32\lwvhjgwd.ini
c:\windows\system32\mcrh.tmp
c:\windows\system32
etstat.com
c:\windows\system32
lkliijt.ini
c:\windows\system32
sm2D.dll
c:\windows\system32\ongwnqhg.ini
c:\windows\system32\owvmpoyq.ini
c:\windows\system32\oyosuflv.ini
c:\windows\system32\pac.txt
c:\windows\system32\ping.com
c:\windows\system32\pqstv.ini
c:\windows\system32\qiyoceig.ini
c:\windows\system32dxctggu.ini
c:\windows\system32\sttss.ini
c:\windows\system32\superiorads-uninst.exe
c:\windows\system32	askkill.com
c:\windows\system32	asklist.com
c:\windows\system32	dkxwjqg.ini
c:\windows\system32	racert.com
c:\windows\system32\ufqgbqoe.ini
c:\windows\system32\upqwwxhk.ini
c:\windows\system32\uufrhkjv.ini
D:\bot.exe
D:\Winrar.exe

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Legacy_CMDSERVICE
-------\Service_Boonty Games


(((((((((((((((((((((((((((((   Fichiers créés du 2009-05-16 au 2009-06-16  ))))))))))))))))))))))))))))))))))))
.

2009-06-10 13:14 . 2009-04-30 21:16	12800	-c----w-	c:\windows\system32\dllcache\xpshims.dll
2009-06-10 13:14 . 2009-04-30 21:16	246272	-c----w-	c:\windows\system32\dllcache\ieproxy.dll
2009-06-06 16:26 . 2009-06-06 16:26	--------	d-sh--w-	c:\documents and settings\Antoine et Murielle\IECompatCache
2009-06-05 15:27 . 2009-06-05 15:27	--------	d-sh--w-	c:\documents and settings\Antoine et Murielle\PrivacIE
2009-06-05 15:27 . 2009-06-05 15:27	--------	d-sh--w-	c:\documents and settings\Antoine et Murielle\IETldCache
2009-05-30 07:21 . 2009-05-30 07:22	--------	d-----w-	c:\program files\ProxyFinderEnterprise
2009-05-27 18:22 . 2009-05-27 18:25	--------	d-----w-	c:\documents and settings\Audrey\Application Data\xVideoServiceThief

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-15 15:11 . 2009-04-18 16:03	64	----a-w-	c:\documents and settings\Audrey\errorlog.tmp
2009-06-10 14:26 . 2009-05-14 15:36	--------	d-----w-	c:\documents and settings\Audrey\Application Data\MessengerDiscovery 2
2009-06-06 09:35 . 2008-07-29 09:27	--------	d-----w-	c:\program files\Blubster
2009-05-17 10:43 . 2007-08-29 15:26	43112	----a-w-	c:\documents and settings\Audrey\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-05-17 07:59 . 2007-08-30 11:27	--------	d-----w-	c:\documents and settings\Audrey\Application Data\OpenOffice.org2
2009-05-17 07:47 . 2007-08-30 11:25	--------	d-----w-	c:\program files\OpenOffice.org 2.2
2009-05-14 15:36 . 2009-05-14 15:36	--------	d-----w-	c:\program files\MessengerDiscovery 2
2009-05-13 05:04 . 2006-06-23 11:28	915456	----a-w-	c:\windows\system32\wininet.dll
2009-05-07 15:33 . 2003-04-09 23:40	348672	----a-w-	c:\windows\system32\localspl.dll
2009-04-29 11:28 . 2007-08-30 10:34	--------	d-----w-	c:\program files\Java
2009-04-29 11:27 . 2009-04-29 11:27	152576	----a-w-	c:\documents and settings\Audrey\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-25 13:47 . 2007-10-20 12:33	--------	d-----w-	c:\program files\Messenger Plus! Live
2009-04-19 19:50 . 2003-04-09 23:41	1847296	----a-w-	c:\windows\system32\win32k.sys
2009-04-19 08:04 . 2008-01-16 18:12	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2009-04-18 16:00 . 2003-04-09 23:41	93500	----a-w-	c:\windows\system32\perfc00C.dat
2009-04-18 16:00 . 2003-04-09 23:41	553870	----a-w-	c:\windows\system32\perfh00C.dat
2009-04-15 14:53 . 2004-03-06 02:17	585216	----a-w-	c:\windows\system32pcrt4.dll
2009-03-21 13:41 . 2009-03-21 13:41	33560	---ha-w-	c:\windows\system32\mlfcache.dat
2002-03-11 09:06 . 2002-03-11 09:06	1822520	----a-w-	c:\program files\instmsiw.exe
2002-03-11 08:45 . 2002-03-11 08:45	1708856	----a-w-	c:\program files\instmsia.exe
2009-01-05 13:21 . 2008-10-07 15:56	651776	----a-w-	c:\program files\mozilla firefox\components
sdcads.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ThePrivacyGuard"="c:\progra~1\THEPRI~1\THEPRI~1   .EXE" [2008-01-17 2128896]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2009-03-13 190024]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SearchSettings"="c:\program files\Search Settings\SearchSettings.exe" [2008-06-12 991584]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2002-08-28 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 455168]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2003-02-14 88107]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
hp psc 2000 Series.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-4-6 323646]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\BSmaxScripT[7.0]\mirc.exe"=
"c:\Program Files\MessengerDiscovery\MessengerDiscovery Live.exe"=
"c:\Program Files\Trackmania Nations Forever\TmForever.exe"=
"c:\Program Files\Blubster\Blubster.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Metin 2\metin2.bin"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Messenger\livecall.exe"=
"c:\TGlobe 9.5\mIRC.exe"=

S3 getPlus(R) Helper;getPlus(R) Helper;c:\program files\NOS\bin\getPlus_HelperSvc.exe [20/02/2009 19:53 33752]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F1B7BE5F-69BF-F498-C31E-980B00433D3C}]
c:\windows\system32:moix3.exe
.
Contenu du dossier 'Tâches planifiées'

2009-06-15 c:\windows\Tasks\User_Feed_Synchronization-{89F654FA-47D5-4649-9413-1FC76A93B2AA}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
- - - - ORPHELINS SUPPRIMES - - - -

BHO-{05D3FD69-9F5A-400F-9A19-44143E255B18} - (no file)
BHO-{283908B0-043C-4717-BB5B-7A645366D4E3} - (no file)
BHO-{99adbfbe-8be5-c9f7-cbf9-b3d004aa6557} - c:\windows\system32
sm2D.dll
BHO-{A4170528-AAE6-459E-9919-FE2858726024} - (no file)
BHO-{D1973633-C67E-4895-8C0E-20BEC663D7C9} - (no file)
BHO-{FA744714-66F6-495A-3696-7E786ED9B8C8} - (no file)
HKLM-Run-almojrim - c:\windows\system32:moix3.exe
Notify-awtsrqo - awtsrqo.dll


.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Trusted Zone: chat-land.org
Trusted Zone: sony-europe.com
Trusted Zone: sonystyle-europe.com
Trusted Zone: vaio-link.com
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-16 13:36
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 


c:\windows\system32:moix3.exe 124928 bytes executable

Scan terminé avec succès
Fichiers cachés: 1

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1800)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Belkin\Belkin Wireless Network Utility\WLService.exe
c:\program files\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\CF25130.exe
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\msiexec.exe
c:\program files\MessengerDiscovery 2\MessengerDiscovery 2.exe
c:\program files\MessengerDiscovery 2\MessengerDiscovery 2.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Heure de fin: 2009-06-16 13:39 - La machine a redémarré
ComboFix-quarantined-files.txt  2009-06-16 11:39

Avant-CF: 4 584 730 624 octets libres
Après-CF: 5 087 510 528 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /fastdetect /NoExecute=OptIn

224	--- E O F ---	2009-06-10 19:06

gen-hackman · Answer

ne t inquietes pas pour le fichier :


Télécharge Ad-remover ( de C_XX ) sur ton bureau : 


! Déconnecte toi et ferme toutes applications en cours ! 

Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
Au menu principal choisis l'option "L" et tape sur [entrée] .

Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Aides en images (Installation)
Aides en images (Recherche)

Audrey · Answer

C'est fait :

.
======= RAPPORT D'AD-REMOVER 1.1.4.5_J | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 14/06/2009 à 10:30 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 14:05:54, 16/06/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 3 v5.1.2600
Nom du PC: NOM-0KJJ38F3M11 | Utilisateur actuel: Audrey
.
Administrateur: Administrateur 
Administrateur: Audrey
Administrateur: Antoine et Murielle 
N'est pas administrateur: ASPNET 
N'est pas administrateur: HelpAssistant *Desactive* 
N'est pas administrateur: Invité *Desactive* 
N'est pas administrateur: SUPPORT_388945a0 *Desactive* 
. 
============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== 
.
.
HKCR\SearchSettings.BHO
HKCR\SearchSettings.BHO.1
HKCR\Typelib\{58906392-79C4-497C-ACC6-6942B59F1A08}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKCU\Software\SWEETIE
HKLM\Software\Dealio
HKLM\Software\Macrogaming
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{F6D63A65-BD23-46F3-B9A3-87F442423481}
HKLM\Software\Search Settings
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SearchSettings
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6BA28FD0-109A-468C-A916-849C4960A451}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{BEB3D0F3-311B-4E2B-B0FF-C4DB9BD92FD6}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E0F10C0A-8B4A-4E88-8B65-BF9D18CA9C02}
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E1D472A3-F986-4B75-9C81-0BDADFB0124A}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\297f2300-8bbb-9fef-0c35-6874e58e306f
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
.
C:\DOCUME~1\Anthony\APPLIC~1\Search Settings\kb127 
C:\DOCUME~1\Anthony\APPLIC~1\Search Settings\kb127es 
C:\DOCUME~1\Anthony\APPLIC~1\Search Settings\kb127	emp 
C:\DOCUME~1\Anthony\APPLIC~1\Search Settings\kb127	emp\ws-14409.log 
C:\DOCUME~1\Anthony\APPLIC~1\Search Settings\kb127	emp\ws-14410.log 
C:\DOCUME~1\Anthony\APPLIC~1\Search Settings\kb127	emp\ws-14411.log 
C:\DOCUME~1\Anthony\APPLIC~1\Search Settings 
C:\Program Files\Macrogaming\SweetIM 
C:\Program Files\Macrogaming\SweetIMBarForIE 
C:\Program Files\Macrogaming\SweetIM\conf 
C:\Program Files\Macrogaming\SweetIM\data 
C:\Program Files\Macrogaming\SweetIM\conf\users 
C:\Program Files\Macrogaming\SweetIM\conf\users\main_user_config.xml 
C:\Program Files\Macrogaming\SweetIM\data\contentdb 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010857.dat 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010859.dat 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0001085D.dat 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010867.dat 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004003E.dat 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00050004.dat 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00050005.dat 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\01050001.dat 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\01050002.dat 
C:\Program Files\Macrogaming\SweetIM\data\contentdb\cache_indx.dat 
C:\Program Files\Macrogaming\SweetIMBarForIE\affid.dat 
C:\Program Files\Macrogaming\SweetIMBarForIE\basis.xml 
C:\Program Files\Macrogaming\SweetIMBarForIE\Bookmarks_23x18.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\Cache 
C:\Program Files\Macrogaming\SweetIMBarForIE\Email_23x18.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\Games_23x18.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\Greetingcards_23x18.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\Mobile_23x18.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\Music_23x18.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\News_23x18.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\Shoping_23x18.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\SmileySmile.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\SmileyWink.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE\sweetimicons.bmp 
C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.crc 
C:\Program Files\Macrogaming\SweetIMBarForIE	oolbar.xml 
C:\Program Files\Macrogaming\SweetIMBarForIE\version.txt 
C:\Program Files\Macrogaming\SweetIMBarForIE\Cache\cd2005c66fba47ff715ecc444d3bc1fb.xml 
C:\Program Files\Macrogaming 
C:\Program Files\Search Settings\kb127 
C:\Program Files\Search Settings\SearchSettings.exe 
C:\Program Files\Search Settings\kb127es 
C:\Program Files\Search Settings\kb127\SearchSettings.dll 
C:\Program Files\Search Settings\kb127\SearchSettingsRes409.dll 
C:\Program Files\Search Settings\kb127	emp 
C:\Program Files\Search Settings 
C:\DOCUME~1\Audrey\APPLIC~1\Mozilla\Firefox\Profiles\01m349db.default\searchplugins\Yoog Search.xml 
C:\Program Files\Mozilla FireFox\Components
sdcads.dll 
C:\Documents and Settings\Antoine et Murielle\Application Data\Mozilla\FireFox\Profiles\03i2ukep.default\searchplugins\Yoog Search.xml 
C:\WINDOWS\Installer\8e5464.msi 
C:\WINDOWS\Prefetch\SEARCHSETTINGS.EXE-253CB611.pf 
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@search.sweetim[2].txt 

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 3.0.11 *

 Nom du profil: 01m349db.default (Anthony)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Yoog Search"); 
(Prefs.js) user_pref("browser.search.selectedEngine", "Yoog Search"); 
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://www2.yoog.com/search.php?q="); 
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://moteur.chat-land.org/"); 
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.11"); 
(User.js) user_pref("browser.search.defaultenginename", "Yoog Search"); 
(User.js) user_pref("browser.search.selectedEngine", "Yoog Search"); 
(User.js) user_pref("browser.search.defaulturl", "hxxp://www2.yoog.com/search.php?q="); 
.
(prefs.js) EFFACÉ: user_pref("browser.search.defaultenginename", "Yoog Search"); 
(prefs.js) EFFACÉ: user_pref("browser.search.defaulturl", "hxxp://www2.yoog.com/search.php?q="); 
(prefs.js) EFFACÉ: user_pref("browser.search.selectedEngine", "Yoog Search"); 
(prefs.js) EFFACÉ: user_pref("keyword.URL", "hxxp://www2.yoog.com/search.php?q="); 
(user.js) EFFACÉ: user_pref("browser.search.defaultenginename", "Yoog Search"); 
(user.js) EFFACÉ: user_pref("browser.search.defaulturl", "hxxp://www2.yoog.com/search.php?q="); 
(user.js) EFFACÉ: user_pref("browser.search.selectedEngine", "Yoog Search"); 
(user.js) EFFACÉ: user_pref("keyword.URL", "hxxp://www2.yoog.com/search.php?q="); 
. 

* Internet Explorer Version 8.0.6001.18702 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

   Tabs: res://ieframe.dll/tabswelcome.htm

============== Suspect (Cracks, Serials ... ) ==============

.

+---------------------------------------------------------------------------+

9947 Octet(s) - C:\Ad-Report-CLEAN.log

19 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
25 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE

Fin à: 14:22:04 | 16/06/2009
.
============== E.O.F ==============
.

gen-hackman · Answer

► Désactivez votre antivirus,

Télécharge >> Yoog_Fix << sur le Bureau.
• Fermez vos navigateurs internet,
• Lance Yoog_Fix.exe, sélectionnez l'option 1 "Recherche" ;
>> Un rapport va s'ouvrir,
► Postez le rapport de recherche.

► Réactivez votre antivirus,

Avant de lancer l'option 2 de Suppression, attendez une validation.

Audrey · Answer

J'ai pas redémarrer mon antivirus, étant donné que j'en ai plus depuis un moment déjà.

Rapport :

Yoog_Fix 2.06 de Batch_Man 
Debut a 14:36 le 16/06/2009 
OS : Microsoft Windows XP 
Service Pack : Service Pack 3 
Internet Explorer : 8.0.6001.18702 
Mozilla Firefox : 3.0.11 (fr) 
Audrey : Administrateur 
Proco : Intel(R) Pentium(R) 4 CPU 2.60GHz 
Mémoire Ram : 511,4 Mo 
Mode de démarrage : Normal 
Lancé de "C:\Documents and Settings\Audrey\Bureau\Yoog_Fix.bat" 


Option [1] 2 Recherche

-------------[ Recherche ]------------- 



TROUVE - user.js [Antoine et Murielle - 03i2ukep.default] user_pref("browser.search.defaultenginename", "Yoog Search"); 
TROUVE - user.js [Antoine et Murielle - 03i2ukep.default] user_pref("browser.search.defaulturl", "http://www2.yoog.com/search.php?q="); 
TROUVE - user.js [Antoine et Murielle - 03i2ukep.default] user_pref("browser.search.selectedEngine", "Yoog Search"); 
TROUVE - user.js [Antoine et Murielle - 03i2ukep.default] user_pref("keyword.URL", "http://www2.yoog.com/search.php?q="); 
 
-------------[ Suspects ]
 
 
-------------[ Autres infections ]
 
 


--------------[ Analyse complementaire : [Firefox] ]--------------
 
 
--------------[ Analyse Firefox ] 
 
Mozilla Firefox 3.0.11 (fr) 
Firefox non installé : C:\Program Files\Mozilla Firefox 
Path Configuration: C:\Documents and Settings\Audrey\Application Data\Mozilla\Firefox\Profiles\01m349db.default 
 
 
[C:\Documents and Settings\Audrey\..\prefs.js] browser.startup.homepage: http://moteur.chat-land.org/ 
 
--------[ Extensions Firefox ] 
 
[Anthony] plugin@yontoo.com = Yontoo Layers 
 
jqs@sun.com = C:\Program Files\Java\jre6\lib\deploy\jqs\ff 
 
--------[ Mozilla Plugins ] 
 
Path = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll  
XPTPath = C:\WINDOWS\system32\Macromed\Flash\flashplayer.xpt  
ProductName = Adobe® Flash® Player Plugin 
Vendor = Adobe Systems Incorporated 
Version = 10.0.12.36  
 
Path = C:\WINDOWS\system32\Adobe\Director
p32dsw.dll  
ProductName = Adobe Shockwave Player 
Vendor = Adobe Systems Inc 
Version = 11.0.3.471  
 
Path = C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll 
GeckoVersion = 1.0  
ProductName = Windows Live Photo Gallery 
Version = 14.0.8064.0206  
 
Vendor = Microsoft  
Path = C:\Program Files\Real\RealOne Player\Netscape6
ppl3260.dll 
Version = 6.0.11.2852  
 
Vendor = RealNetworks  
XPTPath = C:\Program Files\Real\RealOne Player\Netscape6
ppl3260.xpt 
Path = C:\Program Files\Real\RealOne Player\Netscape6
prjplug.dll 
Version = 1.0.2.2910  
 
Vendor = RealNetworks  
Path = C:\Program Files\Real\RealOne Player\Netscape6
prpjplug.dll 
Version = 6.0.12.1662  
 
Vendor = RealNetworks  
XPTPath = C:\Program Files\Real\RealOne Player\Netscape6
sJSRealPlayerPlugin.xpt 
Path = C:\Program Files\Yahoo!\Common
pyaxmpb.dll 
Vendor = Yahoo  
Version = 1.0.0.1  
 
Path = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll  
XPTPath = C:\WINDOWS\system32\Macromed\Flash\flashplayer.xpt  
ProductName = Adobe Flash Player 
Vendor = Adobe Systems Inc. 
Version = 9.0.116.60  
 
 
--------[ Plugins de recherche ]
 
[Program Files] amazon-france.xml = https://www.amazon.fr/ 
[Program Files] eBay-france.xml = http://search.ebay.fr/ 
[Program Files] google.xml = https://www.google.com/ 
[Program Files] MediaDICO-fr.xml = http://www.dictionnaire-mediadico.com/dictionnaires.asp 
[Program Files] wikipedia-fr.xml = https://fr.wikipedia.org/wiki/Sp%C3%A9cial:Recherche 
[Program Files] yahoo-france.xml = https://fr.search.yahoo.com/ 
 
--------[ Listing de dossiers ]
 
[14/06/2009 17:51 | --a------ | 23032 bytes] C:\Program Files\Mozilla Firefox\Components\browserdirprovider.dll 
[14/06/2009 17:51 | --a------ | 134648 bytes] C:\Program Files\Mozilla Firefox\Components\brwsrcmp.dll 
[10/04/2007 17:21 | --a------ | 163256 bytes] C:\Program Files\Mozilla Firefox\plugins
p-mswmp.dll 
[05/12/2008 23:52 | --a------ | 114688 bytes] C:\Program Files\Mozilla Firefox\plugins
p32dsw.dll 
[09/03/2009 05:19 | --a------ | 410984 bytes] C:\Program Files\Mozilla Firefox\plugins
pdeploytk.dll 
[14/06/2009 17:51 | --a------ | 65528 bytes] C:\Program Files\Mozilla Firefox\plugins
pnul32.dll 
 
--------------[ Analyse du Registre ]
 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL: https://www.msn.com/fr-fr  
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome  
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  
 
--------[ Browser Helper Object ]
 
BHO: {05D3FD69-9F5A-400F-9A19-44143E255B18},@SANS NOM=3.0  
BHO: {283908B0-043C-4717-BB5B-7A645366D4E3},@SANS NOM=3.0  
BHO: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0},@SANS NOM=3.0  
BHO: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0},@SANS NOM=WormRadar.com IESiteBlocker.NavFilter 
BHO: {53707962-6F74-2D53-2644-206D7942484F},@SANS NOM=3.0  
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB},@SANS NOM=3.0  
BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045},@SANS NOM=3.0  
BHO: {9030D464-4C02-4ABF-8ECC-5164760863C6},@SANS NOM=3.0  
BHO: {99adbfbe-8be5-c9f7-cbf9-b3d004aa6557},@SANS NOM=3.0  
BHO: {A4170528-AAE6-459E-9919-FE2858726024},@SANS NOM=3.0  
BHO: {D1973633-C67E-4895-8C0E-20BEC663D7C9},@SANS NOM=3.0  
BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9},@SANS NOM=3.0  
BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C},@SANS NOM=3.0  
BHO: {E7E6F031-17CE-4C07-BC86-EABFE594F69C},@SANS NOM=JQSIEStartDetectorImpl  
BHO: {FA744714-66F6-495A-3696-7E786ED9B8C8},@SANS NOM=3.0  
 
--------[ SearchScopes ]
 
[HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\..\SearchScopes],@DefaultScope={0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
[HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\..\SearchScopes\${searchCLSID}],@DisplayName=@ieframe.dll,-12512  
[HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\..\SearchScopes\{186B56F3-7035-415A-BC9E-5A068DA8A25A}],@DisplayName=Yahoo! Search 
[HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\..\SearchScopes\{7863112F-31AA-4B4E-934C-CC9DF78D17EE}],@DisplayName=Dealio  
[HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\..\SearchScopes\{7EFBC57C-CD57-481f-B794-648FCE9C9116}],@DisplayName=Barre d'outils Blubster 
[HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\..\SearchScopes\{A669F022-70EE-4CF2-97A2-C6597A01144D}],@DisplayName=Google  
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes],@DefaultScope={0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes],@DefaultScope={0633EE93-D776-472f-A0FF-E1416B8B2E3A} 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}],@DisplayName=@ieframe.dll,-12512 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}],@DisplayName=@ieframe.dll,-12512 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{186B56F3-7035-415A-BC9E-5A068DA8A25A}],@DisplayName=Yahoo! Search
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{7863112F-31AA-4B4E-934C-CC9DF78D17EE}],@DisplayName=Dealio 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{7EFBC57C-CD57-481f-B794-648FCE9C9116}],@DisplayName=Barre d'outils Blubster
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{A669F022-70EE-4CF2-97A2-C6597A01144D}],@DisplayName=Google 
 
--------[ Extensions ]
 
@xpsp3res.dll,-20001 : %windir%\Network Diagnostic\xpnetdiag.exe - {1FBA04EE-3024-11d2-8F1F-0000F87ABD16}  
Windows Messenger: C:\Program Files\Messenger\msmsgs.exe - {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}  
 
--------[ Clé Run ]
 
 
 
--------[ Tâches planifiées ]
 

+--------------[ Autres rapports ]

[16/06/2009 14:38] C:\Yoog_Fix\Yoog_Fix_Rapport_n1.txt - Choix 1 : Recherche

+--------------[ Fin à 14h 38min ]

gen-hackman · Answer

&#9830 fais l option 2 (suppression) avec yoog_Fix

&#9830 refais un OTL ensuite par cijoint.fr

Audrey · Answer

J'y ai fait :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijZglZUsy.txt

gen-hackman · Answer

Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau. 

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 
- Coche la case devant :sites de confiance 
- Ne coche aucune autre case 
-Clique sur Restaurer 
-Redémarre ton PC

ensuite :

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:OTL
O2 - BHO: (no name) - {05D3FD69-9F5A-400F-9A19-44143E255B18} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {283908B0-043C-4717-BB5B-7A645366D4E3} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {99adbfbe-8be5-c9f7-cbf9-b3d004aa6557} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {A4170528-AAE6-459E-9919-FE2858726024} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {D1973633-C67E-4895-8C0E-20BEC663D7C9} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {FA744714-66F6-495A-3696-7E786ED9B8C8} - Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-630104143-666037753-2844384153-1005\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-630104143-666037753-2844384153-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-630104143-666037753-2844384153-1005\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-630104143-666037753-2844384153-1005\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found
O4 - HKU\S-1-5-21-630104143-666037753-2844384153-1005..\Run: [ThePrivacyGuard] "C:\PROGRA~1\THEPRI~1\THEPRI~1   .EXE" /startup ()
@Alternate Data Stream - 5430 bytes -> C:\Documents and Settings\Audrey\Bureau\Hiboox.URL:favicon
@Alternate Data Stream - 318 bytes -> C:\Documents and Settings\Audrey\Bureau\ZeBest-3000.URL:favicon
@Alternate Data Stream - 124928 bytes -> C:\WINDOWS\system32:moix3.exe
@Alternate Data Stream - 1150 bytes -> C:\Documents and Settings\Audrey\Bureau\Des Visiteurs.URL:favicon
@Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:EEE39B00

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"MSPY2002"=-
"PHIME2002A"=-
"PHIME2002ASync"=-

:files
C:\WINDOWS\PEV.exe
C:\Qoobox
C:\Documents and Settings\Audrey\Bureau\ComboFix.exe
C:\WINDOWS\System32\CF25130.exe
C:\Documents and Settings\All Users\Application Data\Bags loud rect corn
C:\Documents and Settings\Antoine et Murielle\Application Data\Search Settings


:commands
[emptytemp]
[reboot]

Clique sur RunFix pour lancer la suppression.


Poste le rapport.

==========

Audrey · Answer

Quand tu disais de cocher la case devant sites de confiance sur le logiciel Zeb-Restore, c'était bien la case "Bouton arreter" ?

Sinon le rapport a donné ceci :

Error: Unable to interpret <processes > in the current context!
Error: Unable to interpret <explorer.exe > in the current context!
Error: Unable to interpret <iexplore.exe > in the current context!
Error: Unable to interpret <firefox.exe > in the current context!
Error: Unable to interpret <msnmsgr.exe > in the current context!
Error: Unable to interpret <TeaTimer.exe > in the current context!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05D3FD69-9F5A-400F-9A19-44143E255B18}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05D3FD69-9F5A-400F-9A19-44143E255B18}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{283908B0-043C-4717-BB5B-7A645366D4E3}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{283908B0-043C-4717-BB5B-7A645366D4E3}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99adbfbe-8be5-c9f7-cbf9-b3d004aa6557}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{99adbfbe-8be5-c9f7-cbf9-b3d004aa6557}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A4170528-AAE6-459E-9919-FE2858726024}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A4170528-AAE6-459E-9919-FE2858726024}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D1973633-C67E-4895-8C0E-20BEC663D7C9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D1973633-C67E-4895-8C0E-20BEC663D7C9}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FA744714-66F6-495A-3696-7E786ED9B8C8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FA744714-66F6-495A-3696-7E786ED9B8C8}\ not found.
Registry value HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
Registry value HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A057A204-BACC-4D26-9990-79A187E2698E} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}\ not found.
Registry value HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
Registry value HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\Software\Microsoft\Windows\CurrentVersion\Run\\ThePrivacyGuard deleted successfully.
File "C:\PROGRA~1\THEPRI~1\THEPRI~1 .EXE" /startup not found.
ADS C:\Documents and Settings\Audrey\Bureau\Hiboox.URL:favicon deleted successfully.
ADS C:\Documents and Settings\Audrey\Bureau\ZeBest-3000.URL:favicon deleted successfully.
Unable to delete ADS C:\WINDOWS\system32:moix3.exe .
ADS C:\Documents and Settings\Audrey\Bureau\Des Visiteurs.URL:favicon deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:EEE39B00 deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\IMJPMIG8.1 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\MSPY2002 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PHIME2002A deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\PHIME2002ASync deleted successfully.
========== FILES ==========
C:\WINDOWS\PEV.exe moved successfully.
C:\Qoobox\Quarantine\Registry_backups moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\system32 moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\MCROSO~1.NET\Mіcrosoft.NET moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS\MCROSO~1.NET moved successfully.
C:\Qoobox\Quarantine\C\WINDOWS moved successfully.
C:\Qoobox\Quarantine\C\Program Files\Mozilla Firefox\components moved successfully.
C:\Qoobox\Quarantine\C\Program Files\Mozilla Firefox moved successfully.
C:\Qoobox\Quarantine\C\Program Files\ContextTool moved successfully.
C:\Qoobox\Quarantine\C\Program Files moved successfully.
C:\Qoobox\Quarantine\C\Documents and Settings\Audrey moved successfully.
C:\Qoobox\Quarantine\C\Documents and Settings moved successfully.
C:\Qoobox\Quarantine\C moved successfully.
C:\Qoobox\Quarantine moved successfully.
C:\Qoobox\BackEnv moved successfully.
C:\Qoobox moved successfully.
C:\Documents and Settings\Audrey\Bureau\ComboFix.exe moved successfully.
C:\WINDOWS\System32\CF25130.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\Bags loud rect corn moved successfully.
C:\Documents and Settings\Antoine et Murielle\Application Data\Search Settings\kb127\temp moved successfully.
C:\Documents and Settings\Antoine et Murielle\Application Data\Search Settings\kb127\res moved successfully.
C:\Documents and Settings\Antoine et Murielle\Application Data\Search Settings\kb127 moved successfully.
C:\Documents and Settings\Antoine et Murielle\Application Data\Search Settings moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_658.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.

OTL by OldTimer - Version 2.1.1.0 log created on 06162009_155414

Files moved on Reboot...
File C:\WINDOWS\temp\Perflib_Perfdata_658.dat not found!

Registry entries deleted on Reboot...

gen-hackman · Answer

il etait ecrit clique sur restaurer


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



Télécharges :

Malwarebytes  

ou  :

Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Audrey · Answer

Voilà ce que ça m'a donné :

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2287
Windows 5.1.2600 Service Pack 3

16/06/2009 17:47:28
mbam-log-2009-06-16 (17-47-28).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 166191
Temps écoulé: 48 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3aa42713-5c1e-48e2-b432-d8bf420dd31d} (Rogue.AntiVirus2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3ba4271e-5c1e-48e2-b432-d8bf420dd31d} (Rogue.DeusCleaner) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP535\A0099669.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP536\A0099701.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP536\A0099692.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP552\A0102502.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP553\A0103580.dll (Worm.P2P) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP553\A0103628.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP514\A0096178.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP515\A0096234.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP516\A0096305.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP521\A0096969.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\system volume information\_restore{07d9872d-ca27-41cd-bf02-e601d6e72b23}\RP526\A0099071.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\MSINET.oca (Rogue.Trace) -> Quarantined and deleted successfully.
c:\_OTL\movedfiles\06162009_155414\Qoobox\quarantine\C\WINDOWS\system32\297f2300-8bbb-9fef-0c35-6874e58e306f.exe.vir (Adware.AdRotator) -> Quarantined and deleted successfully.
c:\_OTL\movedfiles\06162009_155414\Qoobox\quarantine\C\WINDOWS\system32\bszip.dll.vir (Worm.P2P) -> Quarantined and deleted successfully.

Par contre, j'ai toujours mon problème avec la photo que j'avais reçue (quand j'ouvre ma session, ça me met toujours un message) ...

gen-hackman · Answer

OK relances OTL stp

Audrey · Answer

J'ai refais le scan via OTL :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijuHYzQGu.txt

Audrey · Answer

Plus personne ?

gen-hackman · Answer

c'est toi qui as installé MessengerDiscovery 2 ?

Audrey · Answer

Oui. Pourquoi ?

gen-hackman · Answer

Télécharge Superantispyware (SAS) 

Choisis "enregistrer" et enregistre-le sur ton bureau. 

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions. 

Créé une icône sur le bureau. 

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer. 

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes. 
- Sous Configuration and Preferences, clique sur le bouton "Preferences" 
- Clique sur l'onglet "Scanning Control " 
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée : 

Close browsers before scanning 
Scan for tracking cookies 
Terminate memory threats before quarantining 
- Laisse les autres lignes décochées. 

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle. 

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer". 

Dans la colonne de gauche, coche C:\Fixed Drive. 

Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan" 

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan. 

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK. 

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next". 

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes. 

Pour recopier les informations sur le forum, fais ceci : 

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS. 
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ". 
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log. 

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut. 

- Copie son contenu dans ta réponse. 


Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.

Audrey · Answer

??

gen-hackman · Answer

!!

Audrey · Answer

J'ai effectué le scan ce matin comme tu me l'as demandé, et ouvert le rapport suivant :

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 06/17/2009 at 11:03 AM

Application Version : 4.26.1004

Core Rules Database Version : 3942
Trace Rules Database Version: 1884

Scan type       : Complete Scan
Total Scan Time : 00:57:13

Memory items scanned      : 425
Memory threats detected   : 0
Registry items scanned    : 5296
Registry threats detected : 0
File items scanned        : 71187
File threats detected     : 95

Adware.Tracking Cookie
C:\Documents and Settings\Audrey\Cookies\audrey@weborama[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@smartadserver[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@ad.zanox[1].txt
C:\Documents and Settings\Audrey\Cookies\audrey@msnportal.112.2o7[1].txt
C:\Documents and Settings\Audrey\Cookies\audrey@advertising[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@247realmedia[1].txt
C:\Documents and Settings\Audrey\Cookies\audrey@revsci[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@atdmt[3].txt
C:\Documents and Settings\Audrey\Cookies\audrey@serving-sys[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@xiti[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@bs.serving-sys[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@247realmedia[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@ad.zanox[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@advertising[1].txt
C:\Documents and Settings\Audrey\Cookies\audrey@aimfar.solution.weborama[1].txt
C:\Documents and Settings\Audrey\Cookies\audrey@atdmt[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@bluestreak[1].txt
C:\Documents and Settings\Audrey\Cookies\audrey@doubleclick[2].txt
C:\Documents and Settings\Audrey\Cookies\audrey@smartadserver[1].txt
C:\Documents and Settings\Audrey\Cookies\audrey@tradedoubler[1].txt
C:\Documents and Settings\Audrey\Cookies\audrey@weborama[1].txt
C:\Documents and Settings\Audrey\Cookies\audrey@xiti[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@actu-medias[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@adv.surinter[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@aolfr.122.2o7[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@eas.apm.emediate[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@himedia.112.2o7[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@m1.webstats.motigo[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@sonyeurope.112.2o7[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@tracking.lsfinteractive[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@tracking.quisma[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@www.mediagalerie[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine et murielle@xiti[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@1936.stats.stats[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@247realmedia[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@2o7[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@747.stats.stats[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@ad.caradisiac[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@ad.cibleclick[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@ad.zanox[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@adbrite[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@adrevolver[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@ads.118000[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@ads.benegil[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@ads.canalblog[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@ads.ft[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@ads.us.e-planning[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@adserver.aol[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@adtech[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@advertising[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@advertstream[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@aimfar.solution.weborama[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@apmebf[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@at.atwola[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@atdmt[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@bluestreak[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@bs.serving-sys[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@cetelem.solution.weborama[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@clickintext[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@consolidationwindowsfrie8.solution.weborama[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@doubleclick[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@fastclick[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@fl01.ct2.comclick[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@fr.at.atwola[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@fr.classic.clickintext[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@himedia.individuad[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@ie8audience.solution.weborama[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@lagarderefrance.solution.weborama[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@media.adrevolver[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@media.photobucket[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@mediaplex[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@mediatraffic[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@micromania.112.2o7[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@msnportal.112.2o7[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@premiere.solution.weborama[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@revsci[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@serving-sys[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@smartadserver[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@specificclick[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@stat.blogorama[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@statcounter[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@stats.canalblog[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@tacoda[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@track.effiliation[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@tracker.affistats[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@tracking.publicidees[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@tracking.veille-referencement[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@tradedoubler[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@weborama[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@www.googleadservices[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@www.googleadservices[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@www.smartadserver[2].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@yourmedia[1].txt
C:\Documents and Settings\Antoine et Murielle\Cookies\antoine_et_murielle@zbox.zanox[1].txt

Adware.k8l
C:\PROGRAM FILES\WINDOWS NT\RTEJEZAN.HTML

Audrey · Answer

Personne ne peut m'aider ?

Audrey · Answer

??

gen-hackman · Answer

hello tu as installé ce programme anterieurement ??

http://www.clubic.com/telecharger-fiche203192-obsidium-software-protection-system.html

Audrey · Answer

Du tout, je l'ai jamais installé ni téléchargé !

Audrey · Answer

Tu vois pas d'où ça pourrait venir ?

gen-hackman · Answer

refais OTL stp

Audrey · Answer

Voilà, le rapport est sur ce lien :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijxOy3Epn.txt

gen-hackman · Answer

Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau. 

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 
- Coche la case devant :sites de confiance 
- Ne coche aucune autre case 
-Clique sur Restaurer 
-Redémarre ton PC

ensuite :

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:OTL
O4 - HKLM..\Run: [almojrim] C:\WINDOWS\system32:moix3.exe [2009/06/17 19:39:09 | 00,000,000 | -HSD | M]
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
@Alternate Data Stream - 76642 bytes -> C:\WINDOWS\system32:moix3
@Alternate Data Stream - 76631 bytes -> C:\WINDOWS\system32:moix3
< End of report >


:reg

:files 
C:\hpfr5550.xml
C:\Documents and Settings\Audrey\Application Data\xVideoServiceThief

:commands
[emptytemp]
[start explorer]
[reboot]

Clique sur RunFix pour lancer la suppression.


Poste le rapport.

ensuite :



==> Télécharge  OAD (de Laur3n7!)

- Enregistre le sur ton bureau

Double clique sur le OAD pour le lancer

- nom de fichier à rechercher ,tapes : Obsidium
- Type de recherche : sélectionne l'option 6 puis valide [entree]

OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.

- Fais un copier / coller de ce rapport dans ton prochain post.

Note importante : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient

Audrey · Answer

Coucou,

j'ai lancé hier soir ce que tu m'as dit d'écrire en gras dans la zone Customs Scans/Fixes sous OTL, mais arrivé au fichier O4 - HKLM..\Run: [almojrim] C:\WINDOWS\system32:moix3.exe [2009/06/17 19:39:09 | 00,000,000 | -HSD | M] tout se bloque et je n'ai plus de barre d'outils, ni d'icone et de "Démarrer" ... j'ai du débrancher la prise de l'ordinateur pour qu'il redémarre.

J'ai réessayé une seconde fois, toujours pareil.

Et une troisième fois ce matin en attendant une bonne demi-heure, et ça n'a rien changé le logiciel se met subitemment à planter et je ne peux plus arreter l'ordinateur sans le débrancher.

gen-hackman · Answer

salut ok

essaie de le faire en mode sans echec

Audrey · Answer

En mode sans échec ?

gen-hackman · Answer

Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...)

Audrey · Answer

Salut, j'ai essayé en mode sans échec et ça plante toujours au meme moment.

Audrey · Answer

??

gen-hackman · Answer

hello passe à OAD

Audrey · Answer

20/06/2009 ---- 16:30:13,05  

----------------------------------
§§§§§§ [Obsidium] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\Software\Microsoft\Search Assistant\ACMru\5604]
"000"="obsidium"

*******************
     [Fichier] 
*******************



*********************
     [Même date] 
*********************

Aucun fichier créé à la même date détecté


Outil Aide Diagnostic By !aur3n7 Version 1.1
----------------------------------
§§§§§ Fin Rapport §§§§§ 
----------------------------------

gen-hackman · Answer

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:reg
[-HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\Sof­tware\Microsoft\Search Assistant\ACMru\5604]

:commands
[emptytemp]
[start explorer]
[reboot]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

==========

Audrey · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named TeaTimer.exe was found!
========== REGISTRY ==========
Registry key HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\So­f­tware\Microsoft\Search Assistant\ACMru\5604\ not found.
========== COMMANDS ==========
File delete failed. C:\Documents and Settings\Audrey\Local Settings	emp\WKS41.tmp scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Audrey\Local Settings	emp\~Qil0062.tmp scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Audrey\Local Settings	emp\~Qil1870.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_64c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTL by OldTimer - Version 2.1.1.0 log created on 06202009_170950

Files moved on Reboot...
C:\Documents and Settings\Audrey\Local Settings	emp\WKS41.tmp moved successfully.
C:\Documents and Settings\Audrey\Local Settings	emp\~Qil0062.tmp moved successfully.
C:\Documents and Settings\Audrey\Local Settings	emp\~Qil1870.tmp moved successfully.
File C:\WINDOWS	emp\Perflib_Perfdata_64c.dat not found!

Registry entries deleted on Reboot...

gen-hackman · Answer

fais-le en mode sans echec sans prise en charge reseau stp

Audrey · Answer

Je l'ai fait en mode sans échec et ça change pas.

gen-hackman · Answer

tu me donnes le dernier rapport en date de otl ?

Audrey · Answer

Zut, ça m'a demandé de redémarrer l'ordi et je l'ai fais, j'ai pas reçu le rapport.

Je refais.

gen-hackman · Answer

non il est dans C:\_OTL le dernier en date

Audrey · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named TeaTimer.exe was found!
========== REGISTRY ==========
Registry key HKEY_USERS\S-1-5-21-630104143-666037753-2844384153-1005\So­f­tware\Microsoft\Search Assistant\ACMru\5604\ not found.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTL by OldTimer - Version 2.1.1.0 log created on 06202009_190829

gen-hackman · Answer

refais OAD avec dedans : moix3

option 6 toujours

Audrey · Answer

20/06/2009 ---- 19:52:03,23  

----------------------------------
§§§§§§ [moix3] §§§§§§
----------------------------------
[X] Registre
 
-------------- [  ] rapide
-- Fichier --- [  ] disque systeme
 ------------- [X] complete


********************
     [Registre] 
********************


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F1B7BE5F-69BF-F498-C31E-980B00433D3C}]
"StubPath"="C:\WINDOWS\system32:moix3.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"almojrim"="C:\WINDOWS\system32:moix3.exe"

*******************
     [Fichier] 
*******************



*********************
     [Même date]

gen-hackman · Answer

demarrer/executer/   "regedit"   et ok

suis ce chemin :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{F1B7BE5F-69BF-F498-C31E-980B00433D3C}


un clic gauche sur ce qui est en gras , puis à droite , sur cette clé :

"StubPath"=

tu supprimes sa valeur en doucle-cliquant dessus , dans le petit tableau qui va apparaitre(donc tu effaces ce qui est ecrit. En l'occurence):

"C:\WINDOWS\system32:moix3.exe" 

ensuite :

ce cheminement :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

un clic gauche sur ce qui est en gras , et a droite tu clic droit puis supprimer là où est ecrit :

almojrim

ensuite :

essaie de supprimer ceci manuellement :

C:\WINDOWS\system32:moix3.exe

Audrey · Answer

Salut,

j'ai fais ce que tu m'as dis mais il ne fallait pas faire clic droit et supprimer ?
Parce-que j'ai juste enlever ce qui était écrit dans "Données" pour almojrim et StubPath.

gen-hackman · Answer

salut je ne peux être plus clair et excplicite que ce que j ai ecrit car sinon ce serait me répéter

Audrey · Answer

D'accord, bah c'est bon je l'ai fait et le problème me semble résolu je n'ai plus de problème quand je démarre ma sesion et il n'y a plus de problèmes de touche avec l'accent circonflexe ^^

Merci mille fois en tout cas pour l'aide t'es super sympa ;)

Bonne continuation bisoux.

gen-hackman · Answer

alors un dernier OTL de contrôle et si c'est bon on fait le menage

Audrey · Answer

http://www.cijoint.fr/cjlink.php?file=cj200906/cijgcrsBL2.txt

gen-hackman · Answer

fausse joie :

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe
moix3.exe

:OTL
O4 - HKLM..\Run: [almojrim]  File not found
@Alternate Data Stream - 148069 bytes -> C:\WINDOWS\system32:moix3
@Alternate Data Stream - 124928 bytes -> C:\WINDOWS\system32:moix3.exe

:files
C:\WINDOWS\system32:moix3
C:\WINDOWS\system32:moix3.exe

:commands
[emptytemp]
[start explorer]
[reboot]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

==========

Audrey · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named TeaTimer.exe was found!
No active process named moix3.exe was found!
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\almojrim deleted successfully.
ADS C:\WINDOWS\system32:moix3 deleted successfully.
ADS C:\WINDOWS\system32:moix3.exe deleted successfully.
========== FILES ==========
File\Folder C:\WINDOWS\system32:moix3 not found.
File\Folder C:\WINDOWS\system32:moix3.exe not found.
========== COMMANDS ==========
File delete failed. C:\Documents and Settings\Audrey\Local Settings	emp\hsperfdata_Audrey\2784 scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_654.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Audrey\Application Data\Sun\Java\Deployment\cache\6.0\47\59f2a9af-5a21a188 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Audrey\Application Data\Sun\Java\Deployment\cache\6.0\46\5fcde3ee-67bf7e5f scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Audrey\Application Data\Sun\Java\Deployment\cache\6.0\35\421fc7e3-56dfb3b4 scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Audrey\Application Data\Sun\Java\Deployment\cache\6.0\3\7f775cc3-7e47608a scheduled to be deleted on reboot.
Java cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTL by OldTimer - Version 2.1.1.0 log created on 06212009_204327

Files moved on Reboot...
File C:\Documents and Settings\Audrey\Local Settings	emp\hsperfdata_Audrey\2784 not found!
File C:\WINDOWS	emp\Perflib_Perfdata_654.dat not found!
C:\Documents and Settings\Audrey\Application Data\Sun\Java\Deployment\cache\6.0\47\59f2a9af-5a21a188 moved successfully.
C:\Documents and Settings\Audrey\Application Data\Sun\Java\Deployment\cache\6.0\46\5fcde3ee-67bf7e5f moved successfully.
C:\Documents and Settings\Audrey\Application Data\Sun\Java\Deployment\cache\6.0\35\421fc7e3-56dfb3b4 moved successfully.
C:\Documents and Settings\Audrey\Application Data\Sun\Java\Deployment\cache\6.0\3\7f775cc3-7e47608a moved successfully.

Registry entries deleted on Reboot...

gen-hackman · Answer

hello ....fête de la musique....moi musicien...bon bref on s'en fout lol

refais OTL pour recontrôler

Libby76320 · Answer

Bonsoir,

J'ai exactement le meme soucis avec le fichier moix3.exe ! pas d'accent circonflexe non plus en passant et un message qui s'affiche !
j'ai fait la meme betise que la personne précédente je croyais qu'une amie m'envoyer une photo d'elle u_u'
Bref ^^

J'ai chargé le logiciel Zeb-Restore ainsi que OTL. Cependant j'ai le meme problème ceci fait planter le pc. Donc je souhaitais ce qu'étais OAD ? ^^' pour pouvoir suivre les instructions qui suivent.. car je suis bloquer avec le plantage du pc :/

Si quelqu'un peut me conseiller je le remercierai grandement !

Bonne soirée ou bonne journée !

gen-hackman · Answer

http://www.commentcamarche.net/forum/forum 7 virus securite

Problème concernant un module introuvable !

64 réponses

Discussions similaires