PC encore infecté

Résolu
Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   -  
 Nickie72 -
Bonjour,

Comme je n'arrivais à installer les mises à jour Microsoft, j'ai donc posté un message. Voilà le message d'erreur que j'avais :
"Mise à jour de sécurité pour Microsoft .NET Framework version 1.1 Service Pack 1 pour Windows 2000, Windows XP, Windows Vista,
Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB953297)"
L'un d'entre vous m'a aidé et j'ai donc supprimé Microsoft.Net Framework version 1.1 pour ne garder que la 3.5.
Sur son conseil j'ai lancé UsbFix et lors du lancement pour le nettoyage, il s'est arrêté sur ce message:
"Rootkit :nmdfgds3.dll
Le chemin d'acces spécifié est introuvable"
Voilà le rapport

############################## | UsbFix V6.045 |

User : Compaq_Propriétaire (Administrateurs) # NICKIE
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:19:34 | 28/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Lavasoft Ad-Watch Live! AntiVirus [ Enabled | Updated ]
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Pare-feu Online Armor[ Enabled ]3.0.0.190

C:\ -> Disque fixe local # 180,3 Go (119,42 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 5,99 Go (2,35 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Tall Emu\Online Armor\oacat.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe

################## | Fichiers # Dossiers infectieux |

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoViewContextMenu"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{d9567cfa-6adc-11dd-ba7c-0040f494fb5f}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[28/10/2009 20:19|--a------|61372] C:\aaw7boot.log
[18/04/2009 17:01|--a------|707] C:\Ad-Report-Scan-18.04.2009.log
[23/11/2004 22:21|--a------|0] C:\AUTOEXEC.BAT
[14/06/2009 10:33|-rahs----|296] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[05/08/2004 13:00|-r-hs----|263488] C:\cmldr
[23/11/2004 22:21|--a------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[23/11/2004 22:21|-rahs----|0] C:\IO.SYS
[25/05/2009 19:50|--a------|5911] C:\JavaRa.log
[23/11/2004 22:21|-rahs----|0] C:\MSDOS.SYS
[16/10/2009 17:32|--a------|12288] C:\mtwb.dat
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[30/05/2008 16:05|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[23/04/2009 16:59|--a------|1569] C:\TB.txt
[28/10/2009 20:26|--a------|4008] C:\UsbFix.txt
[28/07/2001 07:07|---hs----|0] D:\AUTOEXEC.BAT
[23/11/2004 17:48|---hs----|6] D:\BLOCK.RIN
[09/01/2002 20:52|---hs----|244] D:\BOOT.INI
[17/08/2001 10:26|---hs----|237728] D:\CMLDR
[28/07/2001 07:07|---hs----|0] D:\CONFIG.SYS
[10/09/2002 00:14|---hs----|100] D:\Desktop.ini
[10/09/2002 17:21|---hs----|7850] D:\Folder.htt
[30/04/2001 21:16|---hs----|14] D:\Graph
[25/01/2002 19:21|---hs----|0] D:\GRAPH16
[30/11/2004 12:01|---hs----|73728] D:\Info.exe
[28/07/2001 07:07|---hs----|0] D:\IO.SYS
[28/07/2001 07:07|---hs----|0] D:\MSDOS.SYS
[25/07/2001 23:00|---hs----|45124] D:\NTDETECT.COM
[17/08/2001 16:32|---hs----|0] D:\NTFS
[25/07/2001 23:00|---hs----|222880] D:\NTLDR
[03/03/2003 13:46|---hs----|111377] D:\protect.ed
[23/11/2004 17:39|---hs----|36] D:\SaveFile.Dir
[30/04/2001 21:16|---hs----|14] D:\SVGA
[02/01/2005 19:24|--ahs----|942] D:\USER
[03/03/2003 13:41|---hs----|88038] D:\Warning.bmp
[18/08/2001 16:00|---hs----|10] D:\WIN51
[22/01/2001 16:00|---hs----|11] D:\WIN51.B2
[25/07/2001 16:00|---hs----|11] D:\WIN51.RC1
[25/07/2001 21:47|---hs----|11] D:\WIN51.RC2
[18/08/2001 16:00|---hs----|10] D:\WIN51IC
[20/03/2001 16:00|---hs----|11] D:\WIN51IC.B2
[25/07/2001 16:00|---hs----|11] D:\WIN51IC.RC1
[25/07/2001 16:00|---hs----|11] D:\WIN51IC.RC2
[17/08/2001 16:00|---hs----|10] D:\WIN51IP
[22/01/2001 16:00|---hs----|11] D:\WIN51IP.B2
[25/07/2001 21:47|---hs----|11] D:\WIN51IP.RC2
[17/08/2001 14:17|---hs----|184] D:\WINBOM.INI
[01/04/2006 10:09|-r-hs----|26] D:\RCBoot.sys

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # UsbFix V6.045 !

Merci de votre aide
Configuration: Windows XP Internet Explorer 7.0

12 réponses

  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut, fais ceci :

    -+-+-+-> RootRepeal <-+-+-+-

    [x] Télécharge RootRepeal

    [x] Décompresse le sur ton bureau

    [x] Double clique sur rootrepeal.exe ( Clique-droit -> Executer en tant qu'administrateur ( vista ) )

    [x] Clique sur l'onglet " Report " puis sur " Scan "

    [x] Coche toutes les cases dans la fenêtre qui s'ouvre puis sur " Ok "

    [x] A la deuxième fenêtre, séléctionne ta partition système ( en général C: )

    [x] Laisse le scan s'opérer, puis copie/colle le rapport qui s'ouvrira peut de temps après le scan dans ta prochaine réponse.

    + Ceci :

    -+-+-+-> ZHPDiag <-+-+-+-

    [x] Télécharge ZHPDiag ( de Nicolas coolman ).

    [x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    [x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau ( Clique droit -> Executer en tant qu'admin ( vista ) )

    [x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    [x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    [x] Rend toi sur Cjoint

    [x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

    [x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    [x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
    0
    1. Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   7
       
      Bonsoir

      et merci de répondre si vite

      dans un premier temps je t'envoie ce rapport et je fais le reste tout de suite

      ROOTREPEAL (c) AD, 2007-2009
      ==================================================
      Scan Start Time: 2009/10/29 17:20
      Program Version: Version 1.3.5.0
      Windows Version: Windows XP SP3
      ==================================================

      Drivers
      -------------------
      Name: dump_atapi.sys
      Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
      Address: 0xF18E5000 Size: 98304 File Visible: No Signed: -
      Status: -

      Name: dump_WMILIB.SYS
      Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
      Address: 0xF7B56000 Size: 8192 File Visible: No Signed: -
      Status: -

      Name: rootrepeal.sys
      Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
      Address: 0xEE94A000 Size: 49152 File Visible: No Signed: -
      Status: -

      Hidden/Locked Files
      -------------------
      Path: C:\hiberfil.sys
      Status: Locked to the Windows API!

      Path: C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Messenger\minibton@hotmail.fr\SharingMetadata\maryetfab@hotmail.fr\DFSR\Staging\CS{D0E8E48F-5FCC-5461-D6CB-BA997BC1E4F5}\13\14-{4A~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
      Status: Visible to the Windows API, but not on disk.

      SSDT
      -------------------
      #: 017 Function Name: NtAllocateVirtualMemory
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab20f0

      #: 019 Function Name: NtAssignProcessToJobObject
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab26e0

      #: 031 Function Name: NtConnectPort
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1370

      #: 037 Function Name: NtCreateFile
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee80

      #: 041 Function Name: NtCreateKey
      Status: Hooked by "<unknown>" at address 0xf7c9a77e

      #: 046 Function Name: NtCreatePort
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab11d0

      #: 047 Function Name: NtCreateProcess
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aaea10

      #: 048 Function Name: NtCreateProcessEx
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aaede0

      #: 050 Function Name: NtCreateSection
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aae520

      #: 053 Function Name: NtCreateThread
      Status: Hooked by "<unknown>" at address 0xf7c9a774

      #: 057 Function Name: NtDebugActiveProcess
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab07b0

      #: 062 Function Name: NtDeleteFile
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abf9c0

      #: 063 Function Name: NtDeleteKey
      Status: Hooked by "<unknown>" at address 0xf7c9a783

      #: 065 Function Name: NtDeleteValueKey
      Status: Hooked by "<unknown>" at address 0xf7c9a78d

      #: 071 Function Name: NtEnumerateKey
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee20

      #: 073 Function Name: NtEnumerateValueKey
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee50

      #: 097 Function Name: NtLoadDriver
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1bc0

      #: 098 Function Name: NtLoadKey
      Status: Hooked by "<unknown>" at address 0xf7c9a792

      #: 116 Function Name: NtOpenFile
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abf5d0

      #: 119 Function Name: NtOpenKey
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abd9a0

      #: 122 Function Name: NtOpenProcess
      Status: Hooked by "<unknown>" at address 0xf7c9a760

      #: 125 Function Name: NtOpenSection
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aae7a0

      #: 128 Function Name: NtOpenThread
      Status: Hooked by "<unknown>" at address 0xf7c9a765

      #: 137 Function Name: NtProtectVirtualMemory
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab2390

      #: 160 Function Name: NtQueryKey
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abedc0

      #: 177 Function Name: NtQueryValueKey
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abedf0

      #: 193 Function Name: NtReplaceKey
      Status: Hooked by "<unknown>" at address 0xf7c9a79c

      #: 200 Function Name: NtRequestWaitReplyPort
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1750

      #: 204 Function Name: NtRestoreKey
      Status: Hooked by "<unknown>" at address 0xf7c9a797

      #: 206 Function Name: NtResumeThread
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0e80

      #: 207 Function Name: NtSaveKey
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abeda0

      #: 213 Function Name: NtSetContextThread
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab05d0

      #: 240 Function Name: NtSetSystemInformation
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0930

      #: 247 Function Name: NtSetValueKey
      Status: Hooked by "<unknown>" at address 0xf7c9a788

      #: 249 Function Name: NtShutdownSystem
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1ac0

      #: 253 Function Name: NtSuspendProcess
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1030
      Bonsoir
      et Merci de répondre si vite.

      Dans un premier temps voici le rapport RootRepeal

      #: 254 Function Name: NtSuspendThread
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0cb0

      #: 255 Function Name: NtSystemDebugControl
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0b10

      #: 257 Function Name: NtTerminateProcess
      Status: Hooked by "<unknown>" at address 0xf7c9a76f

      #: 258 Function Name: NtTerminateThread
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0400

      #: 262 Function Name: NtUnloadDriver
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1de0

      #: 277 Function Name: NtWriteVirtualMemory
      Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab2540

      ==EOF==
      0
      1. Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   7 > Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention  
         
        Pour la suite
        je n'ai pas pu lancé ZHPDiag. J'ai peut-être fait une mauvaise manip?

        Message d'erreur :
        "impossible de créer le fichier "C:\Progarm Files\ZHPDiag\ZHPDiag.txt. Accès refusé"
        Il reste toujours avec le sablier
        0
      2. Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   7 > Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention  
         
        Bonjour

        Avant de m'absenter jusqu'à lundi, je colle le lien demandé.
        J'espère que tu pourras y accéder

        https://www.cjoint.com/?kElUPTNQMh
        0
  2. Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   7
     
    Bonsoir

    De retour de week end

    Je pense que le lien que je t'ai mis ne fonctionne pas car j'ai le message suivant:
    "Impossible d'effectuer cette opération car le client de courrier électronique par défaut n'est pas installé correctement"
    Que doit-je faire?

    Excuses moi mais je ne connais pas trop donc...
    0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Oui, le lien n'est pas valide..

    Suis bien les indications que je t'ai donné dans ma première réponse. Il faut que tu heberges le fichier ZHPDiag.txt sur cjoint et que tu copie/colle le lien qui se trouve après " le lien à été créé : [ lien ] "
    0
    1. Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   7
       
      revoilà le lien j'espère que cette fois c'est la bonne

      https://www.cjoint.com/?lcthMH6OTo
      0
  4. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    -+-+-+-> AD-Remover <-+-+-+-

    [x] Télécharge Ad-remover (de C_XX) sur ton bureau.

    [x] Lance l'installation avec les paramètres par défaut..

    ▶ Déconnecte toi et ferme toutes applications en cours !

    [x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

    [x] Séléctionne l'option F pour français

    [x] A la fenêtre qui s'affiche clique sur " oui "

    [x] Séléctionne l'option L

    [x] Laisse l'outil travailler.

    [x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

    [x] Copie/colle le dans ton prochain post
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   7
     
    Bonsoir

    Voilà le rapport :

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_A | UNIQUEMENT XP/VISTA/7 =======
    .
    Mit à jour par C_XX le 18.10.2009 à 19:05
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 18:24:24, 03/11/2009 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Program Files\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
    Nom du PC: NICKIE | Utilisateur actuel: Compaq_Propri‚taire
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .

    HKCU\Software\EoRezo
    HKCU\Software\FBSearch
    HKCU\Software\ItsLabel
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
    HKCU\Software\SGPUpdater
    HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus Updater
    HKCU\software\microsoft\internet explorer\searchscopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
    HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
    HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
    .
    C:\DOCUME~1\COMPAQ~1\APPLIC~1\DesktopIcon
    C:\DOCUME~1\COMPAQ~1\APPLIC~1\EoRezo
    C:\DOCUME~1\COMPAQ~1\APPLIC~1\ItsLabel
    C:\Program Files\Fast Browser Search
    C:\Program Files\Search Guard Plus
    C:\Program Files\Search Guard PlusU
    C:\Program Files\SGPSA

    (!) -- Fichiers temporaires supprimés.

    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version [Impossible d'obtenir la version] *
    .
    Nom du profil: kgvh2c2n.default (Compaq_Propri‚taire)
    .
    (Prefs.js) user_pref("browser.search.defaultenginename", "Yahoo");
    (Prefs.js) //er_pref("browser.search.selectedEngine", "lo.st");
    (Prefs.js) user_pref("browser.search.selectedEngine", "Live Search");
    (Prefs.js) user_(ûpref("ur(û­lclassifieœ÷user_pref("browser.search.selectedEngine", "Search");
    (Prefs.js) user_pref("browser.search.defaulturl", "hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-divx&p=");
    (Prefs.js) user_pref("browser.startup.homepage", "hxxp://lo.st");
    (Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.8.1.12");
    (Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.msn.fr/");
    (Prefs.js) user_pref("browser.startup.homepage", "hxxp://fr.msn.com/");
    .
    .
    * Internet Explorer Version 7.0.5730.13 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Start Page: hxxp://fr.msn.com/
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Search Bar: hxxp://www.google.com/ie
    SearchAssistant:
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ===================================
    .
    3874 Octet(s) - C:\Ad-Report-CLEAN[1].log
    707 Octet(s) - C:\Ad-Report-Scan-18.04.2009.log
    .
    5 Fichier(s) - C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp
    1 Fichier(s) - C:\WINDOWS\Temp
    .
    19 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
    25 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
    .
    Fin à: 18:39:44 | 03/11/2009 - CLEAN[1]
    .
    ============== E.O.F ==============
    .
    0
  7. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bien, refais un log ZHPDiag
    0
  8. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    -+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-

    [x] Télécharge Malwarebyte's anti-malware

    [x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

    [x] Lance un scan complet.

    [x] Coche bien tout les éléments trouvés et supprime les.

    [x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

    [x] N'oublie pas de vider la quarantaine de malwarebyte's.

    Nb : Un tutoriel pour son utilisation est disponible à cette adresse
    0
    1. Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   7
       
      rapport Malwarebyte's anti-malware :

      Malwarebytes' Anti-Malware 1.41
      Version de la base de données: 3092
      Windows 5.1.2600 Service Pack 3

      03/11/2009 22:20:33
      mbam-log-2009-11-03 (22-20-33).txt

      Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
      Eléments examinés: 247561
      Temps écoulé: 1 hour(s), 27 minute(s), 41 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP346\A0081189.exe (Adware.MakeTheWebBetter) -> Quarantined and deleted successfully.

      Bonsoir
      0
  9. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    -+-+-+-> RSIT <-+-+-+-

    [x] Télécharge Random's System Information Tool

    [x] Double clique sur " RSIT.exe ".

    [x] Clique sur " Continue ".

    [x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

    [x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

    [x] Rend toi sur Cjoint

    [x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

    [x] Séléctionne le rapport info.txt qui se trouve sur ton bureau

    [x] Clique ensuite sur " Créer le lien cjoint "

    [x] Fais de même pour le log.txt

    [x] Copie/colle ensuite les deux liens dans ton prochain message

    [x] Note : si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit
    0
  10. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    A désinstaller via ajout/suppression de programmes :

    Ad-Aware
    AD-Remover
    Google toolbar
    Spyware Guard


    Puis, fais ceci :

    -+-+-+-> CCleaner <-+-+-+-

    [x] Télécharge CCleaner.

    [X] Choisis " french " pour l'installation.

    [x] /!\ Important : Décoche " Ajouter la barre d'outil Yahoo toolbar ! /!\

    [x] Lance le, dans la partie " nettoyeur " clique sur " analyser " à droite puis ensuite sur " nettoyer "

    [x] Clique sur l'onglet " Registre " puis " chercher les erreurs "

    [x] Clique sur " corriger les erreurs " puis un message de demandera si tu veux faire un backup, accepte en cliquant sur " oui " et enregistre le quelque part.

    [x] Clique enfin sur " Corriger toutes les erreurs séléctionnées "

    [x] Pense à renouveller l'opération assez souvent pour garder un pc propre.
    0
    1. Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   7
       
      Dois je vraiment supprimer Ad-Aware car j'ai payé pour l'avoir et je ne sais pas si je pourrai le ravoir ensuite.
      Autrement le reste est supprimé.
      CCleaner avec ou sans Ad-Aware?
      Autrement dois-je faire les mises à jour Java?
      0
  11. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ad-Aware est nul, autrefois c'était une référence, plus maintenant. Malwarebyte's l'a dépassé. Néanmoins si tu l'as payé tu peux le laisser..

    Passe quand même CCleaner, et pour les mises à jour java, il faut bien entendu les faire
    0
    1. Nickie72 Messages postés 152 Date d'inscription   Statut Membre Dernière intervention   7
       
      je te mets les messages que j'ai eu en passant CCleaner


      L'extension de fichier {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} fait référence à un programme inexistant. Ces références sont souvent laissées après la désinstallation d'un programme.

      Solution: Effacer la valeur du registre.

      Le programme de désinstallation : Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\HijackThis ,ne peut être localisé. Ces références sont souvent laissées après la désinstallation d'un programme.

      Solution: Effacer la clé du registre.
      0
  12. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    C'est ok, refais un RSIT ( il n'y aura que le log.txt cette fois ci )
    0
    1. Nickie72
       
      Bonjour
      De retour après une semaine d'absence pour te remercier de ton aide
      Donc merci beaucoup
      0