Infection Trojan! Rapport HijackThis à lire

Sarah -  
 gen-hackman -
Bonjour,

Je suis infectée :(
Je fais appel à votre expertise pour me sortir de là. Help me svp.

Config: Vista, Antivir, Spybot Search & Destroy
J'ai scanné avec HijackThis. Voici le rapport:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:10:25, on 13/08/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\Common Files\logishrd\LComMgr\Communications_Helper.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Windows\ehome\ehmsas.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\admin\AppData\Roaming\taskeng.exe
C:\Users\admin\Desktop\Téléchargements\HiJackThis(2).exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: (no name) - {300BC64A-BF32-4cc8-8917-91148CEFE700} - (no file)
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Add to WebSite-Watcher - C:\Users\admin\AppData\Roaming\aignes\WebSite-Watcher\config\settings\wswie.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger tout avec FlashGet - J:\10 BackUp-Program\FlashGet\jc_all.htm
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} (Module de délivrance de certificat MINEFI) - https://static.impots.gouv.fr/abos/static/securite/certdgi1.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {104B0A37-AB99-4F06-8032-8BBDC3B77DDB} (Telechargement Control) - http://www8.photoweb.fr/telechargement/Photoweb_uploader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/VistaMSNPUpldfr-fr.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://dianceth.spaces.live.com/PhotoUpload/VistaMsnPUpldfr-fr.cab
O16 - DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} (AdVerifierADPCtrl Class) - https://static.impots.gouv.fr/tdir/static/adpform/AdSignerVistaADP-1.1.cab
O16 - DPF: {BA3BAF69-72B1-4BCE-BE96-A4D304EAFBB4} (PhotoBox uploader) - http://assets.photobox.com/assets/aurigma/ImageUploader4.cab?20080724113114
O17 - HKLM\System\CCS\Services\Tcpip\..\{231B5067-9D34-4AA2-8274-A688791DE4DF}: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CS1\Services\Tcpip\..\{231B5067-9D34-4AA2-8274-A688791DE4DF}: NameServer = 85.255.112.173,85.255.112.122
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.173,85.255.112.122
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
Configuration: Windows Vista
Firefox 3.5.2

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs utilisateurs signalent une infection sur Windows Vista après l'exécution d'un rapport HijackThis détaillant de nombreuses entrées et éléments de démarrage suspects au sein du système. Le cœur de la situation est l'identification d'une infection complexe et la recherche d'une méthode efficace pour nettoyer le poste et restaurer des paramètres réseau et navigateur. Des conseils préconisent de redémarrer, refaire une analyse complète avec OTL, puis d'exécuter ComboFix et Malwarebytes pour éliminer les fichiers et processus malveillants et nettoyer les résidus restants dans le système. En parallèle, le contexte souligne que certains éléments de sécurité semblent désactivés ou contournés, ce qui peut compliquer le nettoyage et nécessite une restauration prudente des paramètres de sécurité.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut :

    Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    ▶- Vas dans "Démarrer" puis Panneau de configuration.

    ▶- Double Clique sur l'icône Comptes d'utilisateurs et sur Activer ou désactiver le contrôle des comptes d'utilisateurs.

    ▶- Clique sur Continuer.

    ▶- Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.

    ▶- Valide par OK et redémarre.

    Tuto

    ensuite :


    Desactive la protection residente de ton antivirus et ton parefeu si present , le temps du scan

    Telecharge List'em et enregistre-le sur ton bureau et pas ailleurs

    double-clic (Pour vista clic droit "executer en tant qu'administrateur")sur l'icone présent sur le bureau pour le lancer

    laisse travailler l'outil, le scan devrait durer moins de 10 mn

    une fois le scan Terminé le rapport s'affiche

    colle son contenu si des fichiers sont detectés dans ta prochaine reponse ici.

    ensuite :

    ▶ Télécharge WORT (de pc-system.fr) sur ton bureau :

    ▶ Puis crée ce dossier > C:\WORT

    -> Va dans poste de travail / clique sur ton disque C / puis clique droit dans cette fenêtre et choisis "créer"> "nouveau dossier" > nomme le exactement ainsi WORT

    ▶ Double clique sur WORT.exe pour lancer l'installation de l'outil .
    ▶ Ouvre le dossier WORT , clique sur WareOut_Removal_Tool.bat pour lancer l'outil et laisse toi guider ...

    ▶ Choisis l'option 1 et laisse travailler l'outil ...

    Une fois terminé,

    ▶ poste le rapport obtenu.

    Il sera enregistré dans C:\WORT\WORT_report.txt

    ( Il te sera proposé d'éxécuter le fichier WORTregfix.reg, accepte. )

    ensuite :

    ▶ Désactivez le contrôle des comptes utilisateurs avant utilisation de cet outil:

    ▶ Allez dans "Démarrer" puis Panneau de configuration.
    ▶ Double Cliquez sur l'icône Comptes d'utilisateurs et sur "Activer ou désactiver le contrôle des comptes d'utilisateurs".
    ▶ Décochez la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur.
    ▶ Validez par OK et redémarrez .

    ensuite

    ▶ Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    ▶ clic droit sur "Ad-R.exe" en tant qu'administrateur pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clic droit sur le raccourci Ad-remover en tant qu'administrateur qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis l'option "L" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    ensuite :

    ▶ Telecharge et install UsbFix par Chiquitine29

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

    ▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    ▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    ▶ Laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra.

    Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
    0
  2. Sarah
     
    Merci :)

    je tâche de faire au mieux ...
    0
  3. Sarah
     
    Yep!

    Ca y est ... ouf :o)
    Je te poste les rapports ...
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Sarah
     
    List'em

    List'em by g3n-h@ckm@n 1.0.1.3

    14/08/2009 1:31:03,14

    Microsoft Windows [version 6.0.6001]

    Infections possibles

    Fichiers et dossiers :

    C:\Windows\System32\SET37E6.tmp - Présent !
    C:\Windows\System32\SET7027.tmp - Présent !

    Registre :

    --------EOF------------

    WORT

    ===== Rapport WareOut Removal Tool =====

    version 3.6.2

    analyse effectuée le 14/08/2009 à 1:47:06,09

    Résultats de l'analyse :
    ========================

    ~~~~ Recherche d'infections dans C:\ ~~~~

    ~~~~ Recherche d'infections dans C:\Program Files\ ~~~~

    ~~~~ Recherche d'infections dans C:\Windows\system\ ~~~~

    ~~~~ Recherche d'infections dans C:\Windows\system32\ ~~~~

    ~~~~ Recherche d'infections dans C:\Windows\system32\drivers\ ~~~~

    ~~~~ Recherche d'infections dans C:\Users\admin\AppData\Roaming\ ~~~~

    ~~~~ Recherche d'infections dans C:\Users\admin\Bureau\ ~~~~

    ~~~~ Recherche de détournement de DNS ~~~~

    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
    NameServer REG_SZ 85.255.112.173,85.255.112.122
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{231B5067-9D34-4AA2-8274-A688791DE4DF}]
    NameServer REG_SZ 85.255.112.173,85.255.112.122
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]
    NameServer REG_SZ 85.255.112.173,85.255.112.122
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{231B5067-9D34-4AA2-8274-A688791DE4DF}]
    NameServer REG_SZ 85.255.112.173,85.255.112.122
    [HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Tcpip\Parameters]
    NameServer REG_SZ 85.255.112.173,85.255.112.122
    [HKEY_LOCAL_MACHINE\System\ControlSet003\Services\Tcpip\Parameters\Interfaces\{231B5067-9D34-4AA2-8274-A688791DE4DF}]
    NameServer REG_SZ 85.255.112.173,85.255.112.122

    ~~~~ Recherche de Rootkits ~~~~

    _______________________________________________________________________

    catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-08-14 01:49:55
    Windows 6.0.6001 Service Pack 1 NTFS

    scanning hidden files ...

    C:\Windows\system32\drivers\ESQULsmnqpxxexxmhjyvmotiocifkemryorbd.sys 86528 bytes executable
    C:\Windows\system32\ESQULbelvrnnwxqthxpcpeboijcvrtgaednvx.dll 10240 bytes executable
    C:\Windows\system32\ESQULemenhvqrewhwitibwqdnfysswkcpsuyg.dll 56320 bytes executable
    C:\Windows\system32\ESQULzxspectrum 4 bytes

    scan completed successfully
    hidden files: 4

    _______________________________________________________________________

    ~~~~ Recherche d'infections dans C:\Users\admin\AppData\Local\Temp\ ~~~~

    ~~~~ Recherche d'infections dans C:\Users\admin\Start Menu\Programs\ ~~~~

    ~~~~ Nettoyage du registre ~~~~

    ~~~~ Tentative de réparation des entrées suivantes: ~~~~

    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"

    [HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

    ~~~~ Vérification: ~~~~

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    System REG_SZ

    _________________________________

    développé par http://pc-system.fr
    _________________________________
    0
  6. Sarah
     
    AD-Remover

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
    .
    Mit à jour par C_XX le 24/06/2009 à 7:10 PM
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 2:09:21, 14/08/2009 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Program Files\Ad-remover\
    Système d'exploitation: Microsoft® Windows Vista™ Home Premium Service Pack 1 v6.0.6001
    Nom du PC: MAISON | Utilisateur actuel: admin
    .
    Administrateur: admin
    Administrateur: Administrateur *Desactive*
    N'est pas administrateur: Invité *Desactive*
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    HKCR\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    HKCR\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
    HKCR\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    HKCR\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
    .
    C:\Program Files\AskBarDis\bar
    C:\Program Files\AskBarDis\unins000.dat
    C:\Program Files\AskBarDis\unins000.exe
    C:\Program Files\AskBarDis\bar\bin
    C:\Program Files\AskBarDis\bar\Settings
    C:\Program Files\AskBarDis\bar\bin\askBar.dll
    C:\Program Files\AskBarDis\bar\bin\askPopStp.dll
    C:\Program Files\AskBarDis\bar\bin\psvince.dll
    C:\Program Files\AskBarDis\bar\Settings\AskLogo.ico
    C:\Program Files\AskBarDis\bar\Settings\config.dat
    C:\Program Files\AskBarDis\bar\Settings\config.dat.bak
    C:\Program Files\AskBarDis
    C:\Users\admin\AppData\Local\Temp\tmp161E.tmp

    (!) -- Fichiers temporaires supprimés.

    .
    ============== Scan additionnel ==============
    .

    * Mozilla FireFox Version 3.0.13 *

    Nom du profil: 0hyd0kow.default (admin)
    .
    (Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.0.13");
    .
    .

    * Internet Explorer Version 7.0.6001.18000 *

    [HKEY_CURRENT_USER\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Search Page: hxxp://www.google.com
    Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

    Tabs: res://ieframe.dll/tabswelcome.htm

    .
    ============== Processus Caches/Bloque ==============
    .
    PID: 1356 [LOCKED] audiodg.exe
    PID: 439932 [LOCKED] LVPrcSrv.exe
    .

    ============== Suspect (Cracks, Serials ... ) ==============

    .
    C:\Users\admin\AppData\Roaming\Azureus\torrents\Adobe_Photoshop_CS3_Extended___Crack875943650829_116.torrent
    C:\Users\admin\AppData\Roaming\Azureus\torrents\Adobe_Photoshop_CS3_v10_0_Extended_Incl_Keygen.torrent
    C:\Users\admin\AppData\Roaming\Azureus\torrents\Adobe_Photoshop_Elements_7___Keygen__amp__activation_RAR.torrent
    .
    ===================================
    .
    3572 Octet(s) - C:\Ad-Report-CLEAN.log
    .
    8 Fichier(s) - C:\Users\admin\AppData\Local\Temp
    4 Fichier(s) - C:\Windows\Temp
    .
    20 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
    3 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
    .
    Fin à: 2:36:42 | 14/08/2009
    .
    ============== E.O.F ==============
    .
    0
  7. Sarah
     
    UsbFix

    ############################## | UsbFix V6.017 |

    User : admin (Administrateurs) # MAISON
    Update on 12/08/09 by Chiquitine29 & C_XX
    Start at: 02:53:59 | 14/08/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    AMD Athlon(tm) 64 X2 Dual Core Processor 4000+
    Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Disabled

    C:\ -> Disque fixe local # 111,7 Go (58,29 Go free) [ACER] # NTFS
    D:\ -> Disque fixe local # 111,43 Go (43,1 Go free) [DATA] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible
    G:\ -> Disque amovible
    H:\ -> Disque amovible
    I:\ -> Disque amovible
    J:\ -> Disque amovible # 477,11 Mo (162,62 Mo free) [KINGSTON] # FAT

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\Dwm.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
    C:\Windows\Explorer.EXE
    C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Windows\RtHDVCpl.exe
    C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
    C:\Program Files\Common Files\logishrd\LComMgr\Communications_Helper.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\Program Files\Windows Sidebar\sidebar.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
    C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\conime.exe
    C:\Windows\servicing\TrustedInstaller.exe
    C:\Windows\system32\SearchProtocolHost.exe
    C:\Windows\system32\SearchFilterHost.exe

    ################## | Fichiers # Dossiers infectieux |

    J:\autorun.inf # -> fichier appelé : "J:\"RECYCLER\S-1-2-93-100004913-100002690-100008553-8927.com j:\"" ( Absent ! )
    Présent ! J:\autorun.inf

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    C:\DropMyRights\DropMyRights.exe

    ################## | Registre # Clés Run infectieuses |

    Présent ! HKLM\software\microsoft\windows nt\currentversion\winlogon "Taskman"
    Présent ! HKLM\software\microsoft\security center\Svc "AntiVirusOverride" ( 0x1 )

    ################## | Registre # Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{07675ed6-71ab-11dc-8c4c-001c2501da82}
    shell\AutoRun\command =J:\LaunchU3.exe -a

    HKCU\..\..\Explorer\MountPoints2\{483d04d8-7039-11dc-af28-001c2501da82}
    shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\S-1-2-93-100004913-100002690-100008553-8927.com j:\
    shell\Open\command =RECYCLER\S-1-2-93-100004913-100002690-100008553-8927.com j:\

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # UsbFix V6.017 ! |
    0
  8. Sarah
     
    Bon, j'espère que j'ai pas fais de connerie :p
    And now, wath else ?
    0
  9. gen-hackman
     
    desinstalle AD-Remover

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    ▶ choisi l option 2 ( Suppression )

    ▶ Ton bureau disparaitra et le pc redémarrera .

    ▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ######### | Désinstallation | #########

    ▶ Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi éxécuter en tant qu'administrateur .

    ▶ Choisi l option Désinstaller ....
    0
  10. Sarah
     
    Et voilou :)

    UsbFix

    ############################## | UsbFix V6.017 |

    User : admin (Administrateurs) # MAISON
    Update on 12/08/09 by Chiquitine29 & C_XX
    Start at: 03:19:05 | 14/08/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    AMD Athlon(tm) 64 X2 Dual Core Processor 4000+
    Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
    Internet Explorer 7.0.6001.18000
    Windows Firewall Status : Disabled

    C:\ -> Disque fixe local # 111,7 Go (58,22 Go free) [ACER] # NTFS
    D:\ -> Disque fixe local # 111,43 Go (42,22 Go free) [DATA] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque amovible
    G:\ -> Disque amovible
    H:\ -> Disque amovible
    I:\ -> Disque amovible
    J:\ -> Disque amovible # 477,11 Mo (162,61 Mo free) [KINGSTON] # FAT

    ############################## | Processus actifs |

    C:\Windows\System32\smss.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\wininit.exe
    C:\Windows\system32\csrss.exe
    C:\Windows\system32\services.exe
    C:\Windows\system32\lsass.exe
    C:\Windows\system32\lsm.exe
    C:\Windows\system32\winlogon.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\SLsvc.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\system32\Ati2evxx.exe
    C:\Windows\System32\spoolsv.exe
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Avira\AntiVir Desktop\sched.exe
    C:\Windows\system32\Dwm.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\runonce.exe
    C:\Windows\system32\conime.exe
    C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
    C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
    C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Windows\System32\svchost.exe
    C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\svchost.exe
    C:\Program Files\CyberLink\Shared Files\RichVideo.exe
    C:\Windows\system32\svchost.exe
    C:\Windows\System32\svchost.exe
    C:\Windows\system32\SearchIndexer.exe
    C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
    C:\Windows\system32\WUDFHost.exe
    C:\Windows\system32\wbem\wmiprvse.exe
    C:\Windows\system32\taskeng.exe

    ################## | Fichiers # Dossiers infectieux |

    J:\autorun.inf # -> fichier appelé : "J:\"RECYCLER\S-1-2-93-100004913-100002690-100008553-8927.com j:\"" ( Absent ! )
    Supprimé ! J:\autorun.inf

    ################## | Autres |

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    C:\DropMyRights\DropMyRights.exe

    ################## | Registre # Clés Run infectieuses |

    Supprimé ! HKLM\software\microsoft\windows nt\currentversion\winlogon "Taskman"
    # HKLM\software\microsoft\security center\Svc "AntiVirusOverride" # -> Reset sucessfully !

    ################## | Registre # Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\{07675ed6-71ab-11dc-8c4c-001c2501da82}\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{483d04d8-7039-11dc-af28-001c2501da82}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [06/05/2007 21:29|--a------|3358] -> C:\-20070506.log
    [18/09/2006 23:43|--a------|24] -> C:\autoexec.bat
    [19/01/2008 09:45|-rahs----|333203] -> C:\bootmgr
    [07/05/2007 05:44|-ra-s----|8192] -> C:\BOOTSECT.BAK
    [18/09/2006 23:43|--a------|10] -> C:\config.sys
    [07/11/2007 00:23|--a------|0] -> C:\conmgr.log
    [?|?|?] -> C:\hiberfil.sys
    [10/12/2007 22:19|--a------|10343] -> C:\Installer.log
    [14/08/2009 01:35|--a------|299] -> C:\List'em.txt
    [10/12/2007 22:17|--a------|90] -> C:\LogiSetup.log
    [29/11/2006 17:35|--a------|512] -> C:\MDR.iss
    [?|?|?] -> C:\pagefile.sys
    [06/05/2007 21:06|--a------|420] -> C:\RHDSetup.log
    [06/05/2007 21:18|--a------|178] -> C:\setup.log
    [14/08/2009 03:21|--a------|4200] -> C:\UsbFix.txt
    [14/08/2009 00:06|--a------|3942048] -> J:\mbam-setup.exe
    [14/08/2009 01:30|--a------|67072] -> J:\Listem.exe
    [14/08/2009 00:14|--a------|16409960] -> J:\spybotsd162.exe
    [14/08/2009 01:32|--a------|1430888] -> J:\WORT.exe
    [14/08/2009 01:37|--a------|299] -> J:\List'em.txt
    [14/08/2009 01:57|--a------|3129] -> J:\WORT_report.txt
    [14/08/2009 02:06|--a------|1501965] -> J:\AD-R.exe
    [14/08/2009 02:12|--a------|1291841] -> J:\UsbFix.exe
    [14/08/2009 02:36|--a------|3886] -> J:\Ad-Report-CLEAN.log
    [14/08/2009 02:55|--a------|4648] -> J:\UsbFix.txt

    ################## | Cracks / Keygens / Serials |

    ################## | Upload |

    Veuillez envoyer le fichier : C:\Users\admin\Desktop\UsbFix_Upload_Me_Maison.zip : https://www.androidworld.fr/
    Merci pour votre contribution .

    ################## | ! Fin du rapport # UsbFix V6.017 ! |
    0
  11. gen-hackman
     
    ca sert à rien de garder les outils ils sont mis à jour touts les jours tu peux les virer de J:\ et K:\

    desinstalle usbfix


    Télécharge OTL de OLDTimer

    enregistre le sur ton Bureau.

    ▶ Double clic sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant scan all users

    ▶ règle-le sur "60 Days"

    ▶Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    Tu feras la meme chose avec le "Extra.txt".
    0
  12. Sarah
     
    Re
    Désolé mais hier j'étais un peu trop creuvée :p
    Donc voilà les liens. Pourquoi d'ailleurs faut pas poster le contenu sur le forum ?

    OLT
    http://www.cijoint.fr/cjlink.php?file=cj200908/cijx5PMgZZ.txt

    Extra
    http://www.cijoint.fr/cjlink.php?file=cj200908/cijpQqwM0B.txt
    0
  13. gen-hackman
     
    ▶ Double clic sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous Customs Scans/Fixes :

    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    O2 - BHO: (no name) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - No CLSID value found.
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
    O4 - HKLM..\Run: [Acer Tour] File not found
    O4 - HKLM..\Run: [eRecoveryService] File not found
    O4 - HKU\.DEFAULT..\Run: [] File not found
    O4 - HKU\S-1-5-18..\Run: [] File not found
    O18 - Protocol\Handler\msdaipp - No CLSID value found
    O20 - HKU\S-1-5-21-2298208528-2588182715-3145928627-1000 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-5367599333-1842613095-263456089-3369\rundll32.exe) - C:\RECYCLER\S-1-5-21-5367599333-1842613095-263456089-3369\.exe File not found
    @Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:5C321E34
    @Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:DFC5A2B2

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"=-
    [HKEY_USERS\S-1-5-21-2298208528-2588182715-3145928627-1000\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks]
    "{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-

    :files
    C:\Windows\_delis32.ini

    :commands
    [emptytemp]
    [reboot]


    ▶ Clique sur RunFix pour lancer la suppression.

    ▶ Poste le rapport.
    0
  14. Sarah
     
    Et voilou :o)

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    No active process named msnmsgr.exe was found!
    Process Teatimer.exe killed successfully!
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7E853D72-626A-48EC-A868-BA8D5E23E045}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Acer Tour deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\eRecoveryService deleted successfully.
    Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
    Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ deleted successfully.
    File Protocol\Handler\msdaipp - No CLSID value found not found.
    Registry delete failed. HKEY_USERS\S-1-5-21-2298208528-2588182715-3145928627-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\RECYCLER\S-1-5-21-5367599333-1842613095-263456089-3369\rundll32.exe scheduled to be deleted on reboot.
    ADS C:\ProgramData\TEMP:5C321E34 deleted successfully.
    ADS C:\ProgramData\TEMP:DFC5A2B2 deleted successfully.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher not found.
    Registry value HKEY_USERS\S-1-5-21-2298208528-2588182715-3145928627-1000\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ deleted successfully.
    ========== FILES ==========
    C:\Windows\_delis32.ini moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: admin
    ->Temp folder emptied: 6126509 bytes
    ->Temporary Internet Files folder emptied: 202134 bytes
    ->Java cache emptied: 20261484 bytes
    ->FireFox cache emptied: 97526302 bytes

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 367616 bytes
    Windows Temp folder emptied: 15486 bytes
    RecycleBin emptied: 1989 bytes

    Total Files Cleaned = 118,73 mb

    OTL by OldTimer - Version 3.0.10.6 log created on 08142009_132818

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...
    Registry delete failed. HKEY_USERS\S-1-5-21-2298208528-2588182715-3145928627-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\RECYCLER\S-1-5-21-5367599333-1842613095-263456089-3369\rundll32.exe scheduled to be deleted on reboot.
    0
  15. gen-hackman
     
    redemarre et refais un OTL tout neuf stp
    0
  16. Sarah
     
    Je savais pas s'il fallait cocher des trucs ou pas :op
    J'ai donc juste lancé OLT et cliqué sur "Run Scan". Si c'est pas bon je refais.
    Et le rapport OLT je te le mets sur le forum ou te l'envois via ci-joint.fr ?
    0
  17. gen-hackman
     
    par cijoint ......il est trop long

    oui recoche les cases aussi ^^
    0
  18. Sarah
     
    Yep!

    OLT
    http://www.cijoint.fr/cjlink.php?file=cj200908/cijIVNekwt.txt

    mais y a pas de fichier Extra, c'est normal ?
    0
  19. gen-hackman
     
    supprime List'em , retelecharge-le et repasse-le stp
    0
  20. Sarah
     
    Yop!

    List'em by g3n-h@ckm@n 1.0.1.4

    14/08/2009 15:20:52,01

    Microsoft Windows [version 6.0.6001]

    Infections possibles

    Fichiers et dossiers :

    Registre :

    Clé infectieuse présente ! HKLM\software\microsoft\shared

    --------EOF------------
    0
  • 1
  • 2
  • 3