Zlob Downloader et win 32 Agent.fbx AUSECOU

Marieno -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,

voila jai fait une analyse avec spybot search et il ma trouvé 2 trojan ( zlob Downloader et win 32 Agent.fbx )que faire !!!! car j arrive pas a les supprimer

voici mon log de hijac
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59:45, on 23/10/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe
C:\Users\lesurtel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1PM2YWRJ\hijackthis-2.0.2[1].exe
C:\Users\lesurtel\AppData\Local\Temp\hijackthis-2.0.2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=duxet&e=com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 3.0.30618)" -"http://www8.agame.com/games/shockwave/o/outback_racing/outback_racing_jeu_fr.htm"
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://ma-config.com/activex/hardwaredetection_3_1_1_0.cab
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxcg_device - - C:\Windows\system32\lxcgcoms.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

--
End of file - 6069 bytes

merci de votre aide
Configuration: Windows Vista Internet Explorer 7.0

16 réponses

  1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    on va regarder cela de plus près ...

    fait ce qui suit dans l'ordre :

    1- protocole à suivre pour Windows Vista :

    *Désactiver le contrôle des comptes utilisateurs ou UAC (le réactiver seulement à la fin de la désinfection) :

    Aller dans "démarrer" puis "panneau de configuration" :
    --->Sur la droite de la fenêtre , cliques sur " affichage classique "
    --->Double-Cliquer sur l'icône "Comptes d'utilisateurs"
    --->Cliquer ensuite sur "Activer ou désactiver le contrôle ..." .
    --->Décocher la case "utlisiser le contrôle ..." et cliquer sur OK .
    --->Redémarrer le PC !

    Tutos :
    http://pagesperso-orange.fr/NosTools/uac_vista.html
    https://forum.malekal.com/viewtopic.php?f=59&t=6517

    * Important :
    Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
    clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
    Fais ceci systématiquement ! ...

    une fois ceci fait et pris en compte , commence par ce qui suit :

    ============================

    2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

    > double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

    > Lance ZHPDiag depuis le raccourci du bureau .

    > Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
    ( celui avec le tournevis )

    Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

    > Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    Laisses travailler l'outil ...

    > Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

    Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

    Puis ferme le programme ...

    > rends toi ensuite sur ce site : http://www.cijoint.fr/

    Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
    Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
    Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

    0
    1. marieno
       
      merci je ferai cela ce soir dans le calme quand la petite dors , car ca a l'air compliquer tout sa !!

      a bientot
      0
      1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > marieno
         
        re,

        car ca a l'air compliquer tout sa !!

        mais non ! ... tu verras , rien de bien sorcier ... c'est tout expliquer en détail , y a qu' à suivre les instructions à la lettre .... ;)


        A tout' avec le rapport demandé ...
        0
      2. marieno > sKe69 Messages postés 21955 Statut Contributeur sécurité
         
        voili voila le lien et la !!

        http://www.cijoint.fr/cjlink.php?file=cj200910/cij7OU04ks.txt
        0
  2. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    tu n'as pas lancé ZHPDiag "entant qu'admin..." ! pour les prochaine manipe , fait le systématiquement pour tout les outils qu'on utilisera !

    plusieurs infections ! ....

    /!\ N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
    Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
    Si tu as un quelconque prb n' hésite pas à m'en faire part ( évite les prises de décision hasardeuses ) .
    Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .

    fais ce qui suit dans l'ordre :

    1-
    Infecté par Navipromo .

    -------------------------------------

    Pour info,
    Les programmes suivants installent cette infection :
    - Funky Emoticons
    - Games-Attack
    - Original-Solitaire
    - Go-Astro
    - GoRecord
    - HotTVPlayer
    - Live-Player
    - MailSkinner
    - Messenger Skinner
    - Instant Access
    - InternetGameBox
    - Sudoplanet
    - WebMediaPlayer : sauf celui provenant du site suivant > http://www.azertysite.new.fr/

    ---------------------------------------

    Télécharge Navilog1 sur ton bureau :

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

    Ensuite clique droit / "éxecuter entant qu'admin..." sur navilog1.exe pour lancer l'outil .

    Laisse-toi guider. Au menu principal, choisis 1 et valide .
    (ne fais pas le choix 2 notre avis/accord) .

    Patiente le temps du scan ...

    > Si l'infection est bien détecté , il te sera peut-être demandé de redémarrer ton PC ( pour que l'outil puisse finir le nettoyage ) :
    laisse l'outil le faire automatiquement . Si il ne redémarre pas de lui-même, redémarre ton PC manuellement (c'est important !) .

    Note :
    Si l'outil de demande d'effectuer la manipe en mode sans echec, fais le ( /!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ ).

    Patiente jusqu'au message :
    *** Scan Terminé le ..... ***

    Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
    Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

    (Le rapport est en outre sauvegardé à la racine du disque "C\:cleanavi.txt" )

    ========================

    2- Télécharge SmitfraudFix (de S!Ri, balltrap34 et moe31 ) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe

    Installe le soft sur ton bureau ( et pas ailleurs! ) .

    !! Déconnecte toi, ferme toutes tes applications et désactives tes défenses ( anti-virus ,anti-spyware,...) le temps de la manipe !!

    Tuto ( aide ) : http://siri.urz.free.fr/Fix/SmitfraudFix.php
    Autre tuto animé ( merci balltrapp34 ;) ) : http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

    Utilisation ---> option 1 / Recherche :
    Clique droit / "executer entant qu'admin..." sur l'icône "Smitfraudfix.exe" et sélectionne 1 (et pas sur autre chose sans notre accord !) pour créer un rapport des fichiers responsables de l'infection.

    Poste le rapport ( "rapport.txt" qui se trouve sous C\: ) et attends la suite ...

    (Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

    0
    1. marieno
       
      re

      voila le rappor de navlog 1

      Fix Navipromo version 4.0.3 commencé le 23/10/2009 20:17:55,46

      !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
      !!! Postez ce rapport sur le forum pour le faire analyser !!!

      Outil exécuté depuis C:\Program Files\navilog1

      Mise à jour le 21.10.2009 à 22h00 par IL-MAFIOSO

      Microsoft® Windows Vista™ Professionnel ( v6.0.6001 ) Service Pack 1
      X86-based PC ( Multiprocessor Free : AMD Athlon(tm) XP 2400+ )
      BIOS : Version 1.00
      USER : lesurtel ( Not Administrator ! )
      BOOT : Normal boot




      C:\ (Local Disk) - NTFS - Total:74 Go (Free:42 Go)
      D:\ (CD or DVD)


      Recherche executée en mode normal

      Nettoyage exécuté au redémarrage de l'ordinateur


      c:\users\lesurtel\appdata\local\virtua~1\progra~1\InternetGamebox supprimé !
      C:\Users\lesurtel\AppData\Local\iosisck_navup.dat supprimé !
      C:\Users\lesurtel\AppData\Local\tcbhg.bat supprimé !


      Nettoyage contenu C:\Windows\Temp effectué ! et la je fait la suite que tu ma dit ??
      0
  3. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    et la je fait la suite que tu ma dit ??

    > beh oui !!! ... ^^"
    0
    1. marieno
       
      re

      voiila la suite !! lol jsuis pas si blonde en faite ^^


      SmitFraudFix v2.424

      Scan done at 20:43:04,65, 23/10/2009
      Run from C:\Users\lesurtel\Desktop\SmitfraudFix
      OS: Microsoft Windows [version 6.0.6001] - Windows_NT
      The filesystem type is NTFS
      Fix run in normal mode

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\Windows\system32\csrss.exe
      C:\Windows\system32\wininit.exe
      C:\Windows\system32\csrss.exe
      C:\Windows\system32\winlogon.exe
      C:\Windows\system32\services.exe
      C:\Windows\system32\lsass.exe
      C:\Windows\system32\lsm.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\SLsvc.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Windows\System32\spoolsv.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Windows\system32\lxcgcoms.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\svchost.exe
      C:\Windows\System32\svchost.exe
      C:\Windows\system32\SearchIndexer.exe
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Program Files\Lexmark 2300 Series\ezprint.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
      C:\Program Files\Windows Media Player\wmpnscfg.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\Windows Media Player\wmpnetwk.exe
      C:\Windows\system32\wbem\wmiprvse.exe
      C:\Program Files\Windows Live\Contacts\wlcomm.exe
      C:\Windows\system32\wuauclt.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\SearchProtocolHost.exe
      C:\Windows\system32\SearchFilterHost.exe
      C:\Windows\system32\SearchProtocolHost.exe
      C:\Windows\system32\cmd.exe
      C:\Windows\system32\conime.exe
      C:\Windows\system32\wbem\wmiprvse.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\lesurtel


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\lesurtel\AppData\Local\Temp


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\lesurtel\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Users\lesurtel\FAVORI~1


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


      »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



      »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
      !!!Attention, following keys are not inevitably infected!!!

      o4Patch
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, following keys are not inevitably infected!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
      !!!Attention, following keys are not inevitably infected!!!

      Agent.OMZ.Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, following keys are not inevitably infected!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, following keys are not inevitably infected!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, following keys are not inevitably infected!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
      "AppInit_DLLs"=""
      "LoadAppInit_DLLs"=dword:00000000


      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, following keys are not inevitably infected!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\Windows\\system32\\userinit.exe,"

      »»»»»»»»»»»»»»»»»»»»»»»» RK

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]




      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Carte Fast Ethernet PCI de base SiS 900
      DNS Server Search Order: 192.168.1.1

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{2DD8217A-24DB-4956-B519-08AAE87E37CF}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{2DD8217A-24DB-4956-B519-08AAE87E37CF}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS3\Services\Tcpip\..\{2DD8217A-24DB-4956-B519-08AAE87E37CF}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


      »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


      »»»»»»»»»»»»»»»»»»»»»»»» End
      0
  4. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bon ...

    Simthfraud passe au travers ...

    fais tout ceci dans l'ordre :

    1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

    ( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

    !! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

    * Clique droit / "execuetr entant qu'admin..." sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
    --> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

    Le nettoyage commence .

    ! ne touche à rien lors de la suppression !

    Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
    pour analyse ...

    ( le rapport est en outre sauvegardé ici -> C:\TB.txt )

    =======================

    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. marieno
     
    voilouuu pour toolbarSD

    -----------\\ ToolBar S&D 1.2.9 XP/Vista

    Microsoft® Windows Vista™ Professionnel ( v6.0.6001 ) Service Pack 1
    X86-based PC ( Multiprocessor Free : AMD Athlon(tm) XP 2400+ )
    BIOS : Version 1.00
    USER : lesurtel ( Not Administrator ! )
    BOOT : Normal boot
    C:\ (Local Disk) - NTFS - Total:74 Go (Free:42 Go)
    D:\ (CD or DVD)

    "C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
    Option : [2] ( 23/10/2009|21:10 )

    [ UAC => 0 ]

    -----------\\ SUPPRESSION

    Supprime! - C:\Program Files\GamesBar\Localization2-French.ini
    Supprime! - C:\ProgramData\GamesBar
    Supprime! - C:\Program Files\GamesBar

    -----------\\ Recherche de Fichiers / Dossiers ...

    -----------\\ [..\Internet Explorer\Main]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    "Local Page"="C:\\Windows\\system32\\blank.htm"
    "Search Page"="https://www.google.com/?gws_rd=ssl"
    "Start Page"="https://www.google.com/?gws_rd=ssl"
    "Search Bar"="http://www.google.com/toolbar/ie8/sidebar.html"
    "Start Page Redirect Cache"="https://www.msn.com/fr-fr?ocid=iehp"
    "Url"="https://www.msn.com/fr-fr/actualite/"

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    "Start Page"="https://www.msn.com/fr-fr/"
    "Default_Page_URL"="https://www.msn.com/fr-fr/?ocid=iehp"
    "Default_Search_URL"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
    "Local Page"="C:\\Windows\\System32\\blank.htm"

    --------------------\\ Recherche d'autres infections

    Aucune autre infection trouvée !

    [ UAC => 1 ]

    1 - "C:\ToolBar SD\TB_1.txt" - 23/10/2009|21:11 - Option : [2]

    -----------\\ Fin du rapport a 21:11:15,21
    0
  7. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    un new ZHPDiag maintenant ... ;)

    0
    1. marieno
       
      enfin !!!

      http://www.cijoint.fr/cjlink.php?file=cj200910/cij8KiuNeQ.txt
      0
  8. marieno
     
    re sKe69

    jai mise 2 fois le scan de ZHPDiag sur le forum !!
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      re,

      et beh ... via "Cijoint" ! comme au début !...:))))


      sinon il est trop long pour le forum ....


      0
  9. marieno
     
    re

    bah c'est ce que j'essayer depuis 10 mn , mais il me dit tjr( Les fichiers avec l'extension ne peuvent pas être déposés !) je capte rien !!
    0
  10. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    dans l'ordre :

    1- re-désactive l'UAC comme je te l'avais demandé au début ( l'outil Toolbar S&D l'a réactivé après son nettoyage ) .

    =======================

    2- Télécharge CCleaner :
    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    ou https://www.pcastuces.com/logitheque/ccleaner.htm
    Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
    Lors de l'installation:
    -choisis bien "français" en langue .
    -avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

    Un tuto ( aide ):
    http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm

    ---> Utilisation:
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )

    ==========================

    3- Télécharge Malwarebytes' :
    ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    ou ici : http://www.malwarebytes.org/mbam.php

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasse le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebytes' .

    Fais un examen dit "RAPIDE" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

    ===================

    4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. marieno
       
      voilii voilouuu !!

      Malwarebytes' Anti-Malware 1.41
      Version de la base de données: 3019
      Windows 6.0.6001 Service Pack 1

      23/10/2009 22:26:08
      mbam-log-2009-10-23 (22-26-08).txt

      Type de recherche: Examen rapide
      Eléments examinés: 97642
      Temps écoulé: 5 minute(s), 59 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      pour Ccleaner je l avais deja sur mon pc ^^
      0
  11. marieno
     
    http://www.cijoint.fr/cjlink.php?file=cj200910/cijMx1ZTYv.txt

    ^^ :)
    0
  12. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    pour Ccleaner je l avais deja sur mon pc ^^

    oui , mais l'as tu utilisé comme je te l'ai demandé ?

    Reste encore quelques saltés ...

    fais ceci :

    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    --------------------------------- [ ! ATTENTION ! ] ------------------------------------------
    !! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
    en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
    --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    --------------------------------------------------------------------------------------------

    Ensuite :
    > Clique droit / "executer entant qu'admin..." sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...

    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .

    Poste le rapport Combofix pour analyse et attends la suite ...

    0
    1. marieno
       
      bonjour seb


      jai passer combofix , mais impossible de l ouvrire le fichier log C:\Combofix.txt , comment faire ?
      0
    2. marieno
       
      ree

      voila pour le rapport combofix ;

      http://www.cijoint.fr/cjlink.php?file=cj200910/cijKIdDaXk.txt
      0
  13. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    on avance ... ^^

    Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. marieno
       
      re

      http://www.cijoint.fr/cjlink.php?file=cj200910/cijdGqL8Bf.txt


      jai passer spybot et Malwarebytes ils ont rien trouvée ^^
      0
  14. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bien ...

    on continue ... dans l'ordre :

    1- Utilsation de l'outil ZHPFix :

    > Lance ZHPFix ( "entant qu'admin..." ) depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

    > https://www.cjoint.com/?kysEKVEk54

    Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

    Pense à réactiver tes défenses !...

    ============================

    2- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
    http://www.genproc.com/GenProc.exe

    !! ferme tes applications en cours !!

    * clique droit / " executer entant qu'admin..." sur GenProc.exe pour lancer le scan et laisse faire...

    * A la question "faites vous aidez sur un forum..." > clique sur " oui " .

    -> poste le contenu du rapport qui s'ouvre ...

    Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

    IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

    =======================

    3- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici https://www.androidworld.fr/

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • clique droit / " executer entant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "S" et tape sur [entrée] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
    (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
    Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

    0
    1. marieno
       
      bonjour

      excuse moi jai pas bien comprise ce que je doit faire avec zhp fix !!!

      je doit ouvrire ZHPFix je vais sur H ET JE COLLE LES 2 LIGNE QUI SE TROUVE SUR https://www.cjoint.com/?kysEKVEk54 ? C BIEN CA !!

      ou je doit copier coller ce qui et marque sur ZHPFix a l ouverture ?

      excuse moi mais je prefere redemander avant de faire la manip

      en attendant ta réponse merci pour ton aider
      0
  15. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    je doit ouvrire ZHPFix je vais sur H ET JE COLLE LES 2 LIGNE QUI SE TROUVE SUR https://www.cjoint.com/?kysEKVEk54 ? C BIEN CA !!

    c'est tout à fait ça ... une fois ces lignes collées , tu enchaines avec la suite de la procédure ...

    0
    1. marieno
       
      re
      ZHPFix v1.12.20 by Nicolas Coolman - Rapport de suppression du 25/10/2009 12:04:58
      Fichier d'export Registre : C:\ZHPExportRegistry-25-10-2009-12-04-58.txt
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} () - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab => Clé absente

      Valeur du Registre :
      (Néant)

      Elément de données du Registre :
      (Néant)

      Dossier :
      (Néant)

      Fichier :
      c:\windows\system32\tmp.txt => Fichier absent

      Logiciel :
      (Néant)

      Script Registre :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 1
      Valeur du Registre : 0
      Elément de données du Registre : 0
      Dossier : 0
      Fichier : 1
      Logiciel : 0
      Autre : 0


      End of the scan

      je continue la suite
      0
    2. marieno
       
      voici le rapprt GenProc

      http://www.cijoint.fr/cjlink.php?file=cj200910/cijakv6JAc.txt
      0
    3. marieno
       
      jai eu cela aussi sur C:\GenProc\Page\GenProc[1].html

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 13:17:07, on 25/10/2009
      Platform: Windows Vista SP1 (WinNT 6.00.1905)
      MSIE: Internet Explorer v8.00 (8.00.6001.18828)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Program Files\Lexmark 2300 Series\ezprint.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Program Files\Windows Live\Messenger\msnmsgr.exe
      C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
      C:\Program Files\Windows Media Player\wmpnscfg.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\Windows Live\Contacts\wlcomm.exe
      C:\Windows\system32\SearchFilterHost.exe
      C:\Windows\system32\cmd.exe
      C:\Windows\system32\conime.exe
      C:\Windows\system32\SearchProtocolHost.exe
      C:\GenProc\outil\lesurtel_GenProc.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\Windows\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
      O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
      O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
      O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
      O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\Windows\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1100465 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.5.30729; .NET CLR 3.0.30618)" -"http://www8.agame.com/games/shockwave/o/outback_racing/outback_racing_jeu_fr.htm"
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe
      O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
      O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)
      O15 - Trusted Zone: http://www.secuser.com
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
      O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://ma-config.com/activex/hardwaredetection_3_1_1_0.cab
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
      O23 - Service: lxcg_device - - C:\Windows\system32\lxcgcoms.exe
      O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
      O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
      O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
      O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
      O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
      0
  16. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    bien ...

    j'attends maintenant le rapport de Ad-Remover ( l'étape 3 ... )

    0
    1. marieno
       
      BONJOUR

      dsl du retard , voici le log de AD


      http://www.cijoint.fr/cjlink.php?file=cj200910/cijyxNGdS2.txt
      0
  17. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    c'est clean ... fais ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :

    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )

    1- Utilsation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!

    A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    Là tu décoches la case devant ZHPDiag !

    > Enfin clique en bas sur "Nettoyer" .

    laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    Copie/colle le contenu de ce rapport pour analyse ...

    B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

    Au message de confirmation , clique sur "Ok" .

    Puis ferme ZHPFix ...

    =====================

    2- Refais un coup de CCleaner ( registre compris ) .

    =====================

    3- Télécharge et installe le logiciel HijackThis :

    ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
    ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

    -> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
    A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    ( ne fais pas de scan pour le moment )

    =====================

    4- Important :
    Purge de la restauration système
    -->Désactive ta restauration :
    Dans démarrer, clique droit sur ordinateur/propriétés/protection du système : décoche la case devant ton disk dur maitre ( pour toi -> C ) , valide, applique et OK
    Redémarre ton PC ...

    -->Réactive ta restauration :
    Clique droit sur ordinateur/propriétés/protection du système : coche la case devant ton disk dur maitre , valide, applique et OK
    Redémarre ton PC ...

    ( tuto : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista )

    =====================

    5- Fais ce scan en ligne pour vérifier :

    ( ne rien faire d'autre avec le PC durant le scan ! )

    Fais un scan antivirus en ligne, avec Internet Explorer et accepter l'ActiveX :

    https://www.bitdefender.fr/

    * Aide :
    - En bas, dans l'encadré "Analyse en ligne gratuite" , clique sur "analyser" .
    - Dans la nouvelle fenêtre, clique sur "j’accepte" .
    > il te sera proposer d'installer un module complémentaire (contrôle ActiveX) pour pouvoir faire le scan > accepte !
    - Puis patiente le temps du chargement .
    - La fenêtre change encore, clique sur "démarrer l'analyse" .
    - Les signatures se chargent, etc ... et le scan démarre ...

    Laisse travailler sans utiliser le PC .

    * pour le rapport : clique sur l'onglet "plus de détailles" . A la fin du scan, clique sur " problème détectés " .
    -> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
    -> Clique dessus donc, et choisis d'enregistrer le rapport sur ton bureau .

    --> Ouvre le document html que tu viens de sauvegarder ( le rapport ),
    fais un copier/coller de tout son contenu et poste le dans ta prochaine réponse ...

    Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

    Tutoriel en images ici :
    http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
    Et ici : https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender

    0