PC encore infecté

Résolu
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   -  
 Nickie72 -
Bonjour,

Comme je n'arrivais à installer les mises à jour Microsoft, j'ai donc posté un message. Voilà le message d'erreur que j'avais :
"Mise à jour de sécurité pour Microsoft .NET Framework version 1.1 Service Pack 1 pour Windows 2000, Windows XP, Windows Vista,
Windows Server 2008, Windows 7 et Windows Server 2008 R2 (KB953297)"
L'un d'entre vous m'a aidé et j'ai donc supprimé Microsoft.Net Framework version 1.1 pour ne garder que la 3.5.
Sur son conseil j'ai lancé UsbFix et lors du lancement pour le nettoyage, il s'est arrêté sur ce message:
"Rootkit :nmdfgds3.dll
Le chemin d'acces spécifié est introuvable"
Voilà le rapport

############################## | UsbFix V6.045 |

User : Compaq_Propriétaire (Administrateurs) # NICKIE
Update on 24/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:19:34 | 28/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) 4 CPU 3.06GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Lavasoft Ad-Watch Live! AntiVirus [ Enabled | Updated ]
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
FW : Pare-feu Online Armor[ Enabled ]3.0.0.190

C:\ -> Disque fixe local # 180,3 Go (119,42 Go free) [PRESARIO] # NTFS
D:\ -> Disque fixe local # 5,99 Go (2,35 Go free) [PRESARIO_RP] # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Tall Emu\Online Armor\oacat.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFind"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoRun"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoViewContextMenu"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{d9567cfa-6adc-11dd-ba7c-0040f494fb5f}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[28/10/2009 20:19|--a------|61372] C:\aaw7boot.log
[18/04/2009 17:01|--a------|707] C:\Ad-Report-Scan-18.04.2009.log
[23/11/2004 22:21|--a------|0] C:\AUTOEXEC.BAT
[14/06/2009 10:33|-rahs----|296] C:\boot.ini
[05/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin
[05/08/2004 13:00|-r-hs----|263488] C:\cmldr
[23/11/2004 22:21|--a------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[23/11/2004 22:21|-rahs----|0] C:\IO.SYS
[25/05/2009 19:50|--a------|5911] C:\JavaRa.log
[23/11/2004 22:21|-rahs----|0] C:\MSDOS.SYS
[16/10/2009 17:32|--a------|12288] C:\mtwb.dat
[05/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM
[30/05/2008 16:05|-rahs----|252240] C:\ntldr
[?|?|?] C:\pagefile.sys
[23/04/2009 16:59|--a------|1569] C:\TB.txt
[28/10/2009 20:26|--a------|4008] C:\UsbFix.txt
[28/07/2001 07:07|---hs----|0] D:\AUTOEXEC.BAT
[23/11/2004 17:48|---hs----|6] D:\BLOCK.RIN
[09/01/2002 20:52|---hs----|244] D:\BOOT.INI
[17/08/2001 10:26|---hs----|237728] D:\CMLDR
[28/07/2001 07:07|---hs----|0] D:\CONFIG.SYS
[10/09/2002 00:14|---hs----|100] D:\Desktop.ini
[10/09/2002 17:21|---hs----|7850] D:\Folder.htt
[30/04/2001 21:16|---hs----|14] D:\Graph
[25/01/2002 19:21|---hs----|0] D:\GRAPH16
[30/11/2004 12:01|---hs----|73728] D:\Info.exe
[28/07/2001 07:07|---hs----|0] D:\IO.SYS
[28/07/2001 07:07|---hs----|0] D:\MSDOS.SYS
[25/07/2001 23:00|---hs----|45124] D:\NTDETECT.COM
[17/08/2001 16:32|---hs----|0] D:\NTFS
[25/07/2001 23:00|---hs----|222880] D:\NTLDR
[03/03/2003 13:46|---hs----|111377] D:\protect.ed
[23/11/2004 17:39|---hs----|36] D:\SaveFile.Dir
[30/04/2001 21:16|---hs----|14] D:\SVGA
[02/01/2005 19:24|--ahs----|942] D:\USER
[03/03/2003 13:41|---hs----|88038] D:\Warning.bmp
[18/08/2001 16:00|---hs----|10] D:\WIN51
[22/01/2001 16:00|---hs----|11] D:\WIN51.B2
[25/07/2001 16:00|---hs----|11] D:\WIN51.RC1
[25/07/2001 21:47|---hs----|11] D:\WIN51.RC2
[18/08/2001 16:00|---hs----|10] D:\WIN51IC
[20/03/2001 16:00|---hs----|11] D:\WIN51IC.B2
[25/07/2001 16:00|---hs----|11] D:\WIN51IC.RC1
[25/07/2001 16:00|---hs----|11] D:\WIN51IC.RC2
[17/08/2001 16:00|---hs----|10] D:\WIN51IP
[22/01/2001 16:00|---hs----|11] D:\WIN51IP.B2
[25/07/2001 21:47|---hs----|11] D:\WIN51IP.RC2
[17/08/2001 14:17|---hs----|184] D:\WINBOM.INI
[01/04/2006 10:09|-r-hs----|26] D:\RCBoot.sys

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.045 !

Merci de votre aide
A voir également:

12 réponses

Réponse 1 / 12
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Salut, fais ceci :

-+-+-+-> RootRepeal <-+-+-+-


[x] Télécharge RootRepeal

[x] Décompresse le sur ton bureau

[x] Double clique sur rootrepeal.exe ( Clique-droit -> Executer en tant qu'administrateur ( vista ) )

[x] Clique sur l'onglet " Report " puis sur " Scan "

[x] Coche toutes les cases dans la fenêtre qui s'ouvre puis sur " Ok "

[x] A la deuxième fenêtre, séléctionne ta partition système ( en général C: )

[x] Laisse le scan s'opérer, puis copie/colle le rapport qui s'ouvrira peut de temps après le scan dans ta prochaine réponse.

+ Ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau ( Clique droit -> Executer en tant qu'admin ( vista ) )

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
0
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
Bonsoir

et merci de répondre si vite

dans un premier temps je t'envoie ce rapport et je fais le reste tout de suite

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/10/29 17:20
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF18E5000 Size: 98304 File Visible: No Signed: -
Status: -

Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7B56000 Size: 8192 File Visible: No Signed: -
Status: -

Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEE94A000 Size: 49152 File Visible: No Signed: -
Status: -

Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!

Path: C:\Documents and Settings\Compaq_Propriétaire\Local Settings\Application Data\Microsoft\Messenger\minibton@hotmail.fr\SharingMetadata\maryetfab@hotmail.fr\DFSR\Staging\CS{D0E8E48F-5FCC-5461-D6CB-BA997BC1E4F5}\13\14-{4A~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
Status: Visible to the Windows API, but not on disk.

SSDT
-------------------
#: 017 Function Name: NtAllocateVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab20f0

#: 019 Function Name: NtAssignProcessToJobObject
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab26e0

#: 031 Function Name: NtConnectPort
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1370

#: 037 Function Name: NtCreateFile
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee80

#: 041 Function Name: NtCreateKey
Status: Hooked by "<unknown>" at address 0xf7c9a77e

#: 046 Function Name: NtCreatePort
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab11d0

#: 047 Function Name: NtCreateProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aaea10

#: 048 Function Name: NtCreateProcessEx
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aaede0

#: 050 Function Name: NtCreateSection
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aae520

#: 053 Function Name: NtCreateThread
Status: Hooked by "<unknown>" at address 0xf7c9a774

#: 057 Function Name: NtDebugActiveProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab07b0

#: 062 Function Name: NtDeleteFile
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abf9c0

#: 063 Function Name: NtDeleteKey
Status: Hooked by "<unknown>" at address 0xf7c9a783

#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "<unknown>" at address 0xf7c9a78d

#: 071 Function Name: NtEnumerateKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee20

#: 073 Function Name: NtEnumerateValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abee50

#: 097 Function Name: NtLoadDriver
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1bc0

#: 098 Function Name: NtLoadKey
Status: Hooked by "<unknown>" at address 0xf7c9a792

#: 116 Function Name: NtOpenFile
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abf5d0

#: 119 Function Name: NtOpenKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abd9a0

#: 122 Function Name: NtOpenProcess
Status: Hooked by "<unknown>" at address 0xf7c9a760

#: 125 Function Name: NtOpenSection
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1aae7a0

#: 128 Function Name: NtOpenThread
Status: Hooked by "<unknown>" at address 0xf7c9a765

#: 137 Function Name: NtProtectVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab2390

#: 160 Function Name: NtQueryKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abedc0

#: 177 Function Name: NtQueryValueKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abedf0

#: 193 Function Name: NtReplaceKey
Status: Hooked by "<unknown>" at address 0xf7c9a79c

#: 200 Function Name: NtRequestWaitReplyPort
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1750

#: 204 Function Name: NtRestoreKey
Status: Hooked by "<unknown>" at address 0xf7c9a797

#: 206 Function Name: NtResumeThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0e80

#: 207 Function Name: NtSaveKey
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1abeda0

#: 213 Function Name: NtSetContextThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab05d0

#: 240 Function Name: NtSetSystemInformation
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0930

#: 247 Function Name: NtSetValueKey
Status: Hooked by "<unknown>" at address 0xf7c9a788

#: 249 Function Name: NtShutdownSystem
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1ac0

#: 253 Function Name: NtSuspendProcess
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1030
Bonsoir
et Merci de répondre si vite.

Dans un premier temps voici le rapport RootRepeal

#: 254 Function Name: NtSuspendThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0cb0

#: 255 Function Name: NtSystemDebugControl
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0b10

#: 257 Function Name: NtTerminateProcess
Status: Hooked by "<unknown>" at address 0xf7c9a76f

#: 258 Function Name: NtTerminateThread
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab0400

#: 262 Function Name: NtUnloadDriver
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab1de0

#: 277 Function Name: NtWriteVirtualMemory
Status: Hooked by "C:\WINDOWS\system32\drivers\OADriver.sys" at address 0xf1ab2540

==EOF==
0
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1 > Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention  
 
Pour la suite
je n'ai pas pu lancé ZHPDiag. J'ai peut-être fait une mauvaise manip?

Message d'erreur :
"impossible de créer le fichier "C:\Progarm Files\ZHPDiag\ZHPDiag.txt. Accès refusé"
Il reste toujours avec le sablier
0
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1 > Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour

Avant de m'absenter jusqu'à lundi, je colle le lien demandé.
J'espère que tu pourras y accéder

https://www.cjoint.com/?kElUPTNQMh
0
Réponse 2 / 12
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
Bonsoir

De retour de week end

Je pense que le lien que je t'ai mis ne fonctionne pas car j'ai le message suivant:
"Impossible d'effectuer cette opération car le client de courrier électronique par défaut n'est pas installé correctement"
Que doit-je faire?

Excuses moi mais je ne connais pas trop donc...
0
Réponse 3 / 12
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Oui, le lien n'est pas valide..

Suis bien les indications que je t'ai donné dans ma première réponse. Il faut que tu heberges le fichier ZHPDiag.txt sur cjoint et que tu copie/colle le lien qui se trouve après " le lien à été créé : [ lien ] "
0
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
revoilà le lien j'espère que cette fois c'est la bonne

https://www.cjoint.com/?lcthMH6OTo
0
Réponse 4 / 12
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
-+-+-+-> AD-Remover <-+-+-+-


[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

[x] Lance l'installation avec les paramètres par défaut..

▶ Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] Séléctionne l'option F pour français

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option L

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
Bonsoir

Voilà le rapport :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_A | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 18.10.2009 à 19:05
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:24:24, 03/11/2009 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 3 v5.1.2600
Nom du PC: NICKIE | Utilisateur actuel: Compaq_Propri‚taire
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

HKCU\Software\EoRezo
HKCU\Software\FBSearch
HKCU\Software\ItsLabel
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKCU\Software\SGPUpdater
HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus Updater
HKCU\software\microsoft\internet explorer\searchscopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
.
C:\DOCUME~1\COMPAQ~1\APPLIC~1\DesktopIcon
C:\DOCUME~1\COMPAQ~1\APPLIC~1\EoRezo
C:\DOCUME~1\COMPAQ~1\APPLIC~1\ItsLabel
C:\Program Files\Fast Browser Search
C:\Program Files\Search Guard Plus
C:\Program Files\Search Guard PlusU
C:\Program Files\SGPSA

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version [Impossible d'obtenir la version] *
.
Nom du profil: kgvh2c2n.default (Compaq_Propri‚taire)
.
(Prefs.js) user_pref("browser.search.defaultenginename", "Yahoo");
(Prefs.js) //er_pref("browser.search.selectedEngine", "lo.st");
(Prefs.js) user_pref("browser.search.selectedEngine", "Live Search");
(Prefs.js) user_(ûpref("ur(û­lclassifieœ÷user_pref("browser.search.selectedEngine", "Search");
(Prefs.js) user_pref("browser.search.defaulturl", "hxxp://fr.search.yahoo.com/search?ei=UTF-8&fr=ytff-divx&p=");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://lo.st");
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.8.1.12");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://www.msn.fr/");
(Prefs.js) user_pref("browser.startup.homepage", "hxxp://fr.msn.com/");
.
.
* Internet Explorer Version 7.0.5730.13 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Search Bar: hxxp://www.google.com/ie
SearchAssistant:
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
3874 Octet(s) - C:\Ad-Report-CLEAN[1].log
707 Octet(s) - C:\Ad-Report-Scan-18.04.2009.log
.
5 Fichier(s) - C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp
1 Fichier(s) - C:\WINDOWS\Temp
.
19 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
25 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE
.
Fin à: 18:39:44 | 03/11/2009 - CLEAN[1]
.
============== E.O.F ==============
.
0
Réponse 6 / 12
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Bien, refais un log ZHPDiag
0
Réponse 7 / 12
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
Ci joint le lien :


https://www.cjoint.com/?ldtfRytqF3
0
Réponse 8 / 12
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware

[x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

[x] Lance un scan complet.

[x] Coche bien tout les éléments trouvés et supprime les.

[x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

[x] N'oublie pas de vider la quarantaine de malwarebyte's.

Nb : Un tutoriel pour son utilisation est disponible à cette adresse
0
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
rapport Malwarebyte's anti-malware :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3092
Windows 5.1.2600 Service Pack 3

03/11/2009 22:20:33
mbam-log-2009-11-03 (22-20-33).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Eléments examinés: 247561
Temps écoulé: 1 hour(s), 27 minute(s), 41 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP346\A0081189.exe (Adware.MakeTheWebBetter) -> Quarantined and deleted successfully.

Bonsoir
0
Réponse 9 / 12
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Rend toi sur Cjoint

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport info.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint "

[x] Fais de même pour le log.txt

[x] Copie/colle ensuite les deux liens dans ton prochain message

[x] Note : si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit
0
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
Bonsoir

Comme demandé tu trouveras les deux liens pour RSIT


https://www.cjoint.com/?lesK4ApZri

https://www.cjoint.com/?lesMp7x0k0
0
Réponse 10 / 12
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
A désinstaller via ajout/suppression de programmes :

Ad-Aware
AD-Remover
Google toolbar
Spyware Guard


Puis, fais ceci :

-+-+-+-> CCleaner <-+-+-+-


[x] Télécharge CCleaner.

[X] Choisis " french " pour l'installation.

[x] /!\ Important : Décoche " Ajouter la barre d'outil Yahoo toolbar ! /!\

[x] Lance le, dans la partie " nettoyeur " clique sur " analyser " à droite puis ensuite sur " nettoyer "

[x] Clique sur l'onglet " Registre " puis " chercher les erreurs "

[x] Clique sur " corriger les erreurs " puis un message de demandera si tu veux faire un backup, accepte en cliquant sur " oui " et enregistre le quelque part.

[x] Clique enfin sur " Corriger toutes les erreurs séléctionnées "

[x] Pense à renouveller l'opération assez souvent pour garder un pc propre.
0
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
Dois je vraiment supprimer Ad-Aware car j'ai payé pour l'avoir et je ne sais pas si je pourrai le ravoir ensuite.
Autrement le reste est supprimé.
CCleaner avec ou sans Ad-Aware?
Autrement dois-je faire les mises à jour Java?
0
Réponse 11 / 12
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Ad-Aware est nul, autrefois c'était une référence, plus maintenant. Malwarebyte's l'a dépassé. Néanmoins si tu l'as payé tu peux le laisser..

Passe quand même CCleaner, et pour les mises à jour java, il faut bien entendu les faire
0
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
je te mets les messages que j'ai eu en passant CCleaner


L'extension de fichier {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} fait référence à un programme inexistant. Ces références sont souvent laissées après la désinstallation d'un programme.

Solution: Effacer la valeur du registre.

Le programme de désinstallation : Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\HijackThis ,ne peut être localisé. Ces références sont souvent laissées après la désinstallation d'un programme.

Solution: Effacer la clé du registre.
0
Réponse 12 / 12
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
C'est ok, refais un RSIT ( il n'y aura que le log.txt cette fois ci )
0
Nickie72 Messages postés 155 Date d'inscription   Statut Membre Dernière intervention   1
 
https://www.cjoint.com/?leuJOcnwO4
0
Nickie72
 
Bonjour
De retour après une semaine d'absence pour te remercier de ton aide
Donc merci beaucoup
0