Cheval de troie Très résistant

Résolu
Keli -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
J'ai déjà eu affaire avec votre site web et j'ai eu beaucoup d'aide de votre part et je me retrouve aujourd'hui avec un nouveau problème. Je connais un peu de truc sur l'ordi mais cela reste quand même basique.
J'ai découvert il y a deux jours que j'avais un cheval de troie sur mon ordi et ce malgré tout ce que j'ai essayer ( avast 4 fois ccleaner,) je n'arrive pas a le faire partir. Deplus je n'arrive pas a aller en mode sans échec car mon clavier est un USB et il est donc inactif quand vient le temps d'entrer dans le mode sans échec. J'ai aussi essayer de faire un scan virus au démarrage mais encore la mon clavier est inactif donc je suis dans l'impossibilité de faire une sélection quand vient le temps.
Je vous laisse donc mon Hijack, et j'espère que vous allez pouvoir m'aider car je ne sais plus quoi faire.
Merci beaucoup d'avance.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:55:04 AM, on 05/12/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
H:\Program Files\Alwil Software\Avast4\ashServ.exe
H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
H:\Program Files\QuickTime\qttask.exe
H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
H:\Program Files\Portrait Displays\forteManager\DTHtml.exe
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
H:\Program Files\Java\jre6\bin\jusched.exe
H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
H:\Program Files\Rainlendar2\Rainlendar2.exe
H:\Program Files\Fichiers communs\Portrait Displays\Shared\HookManager.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\devldr32.exe
H:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
H:\Program Files\Java\jre6\bin\jqs.exe
H:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
H:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
H:\WINDOWS\System32\wbem\wmiapsrv.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\wuauclt.exe
H:\Program Files\Mozilla Firefox\firefox.exe
H:\Documents and Settings\Karen Castonguay\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*https://fr.yahoo.com/?p=us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - H:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - H:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - H:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - H:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - H:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - H:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - H:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - H:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [DT LGE] H:\Program Files\Portrait Displays\forteManager\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [ZoneAlarm Client] "H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "H:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [msnmsgr] "H:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] H:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Rainlendar2] H:\Program Files\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [DWQueuedReporting] "H:\PROGRA~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Auto updat] SysDebug.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Auto updat] SysDebug.exe (User 'Default user')
O8 - Extra context menu item: Download all with Free Download Manager - file://H:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://H:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site with Free Download Manager - file://H:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Download with Free Download Manager - file://H:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://I:\GROUPE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - H:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\GROUPE~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - H:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://cdn.messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {DA758BB1-5F89-4465-975F-8D7179A4BCF3} (WheelofFortune Object) - http://messenger.zone.msn.com/binary/WoF.cab31267.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1586CEF5-C41D-4D4C-BBCB-95DE342407BE}: NameServer = 207.164.234.129 207.164.234.193
O17 - HKLM\System\CS1\Services\Tcpip\..\{1586CEF5-C41D-4D4C-BBCB-95DE342407BE}: NameServer = 207.164.234.129 207.164.234.193
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - H:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - H:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: Google Software Updater (gusvc) - Google - H:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - H:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10519 bytes
Configuration: Windows XP
Firefox 3.0.15

26 réponses

  • 1
  • 2
Résumé de la discussion

Un cheval de Troie est détecté sur Windows XP, le clavier USB restant inactif au démarrage et en mode sans échec, ce qui empêche tout scan au démarrage et toute suppression. Une solution proposée consiste à vérifier une rootkit MBR potentielle avec mbr.exe de GMER, puis à générer le rapport mbr.log et exécuter les commandes indiquées sur le Bureau, en désactivant les protections. Si le message MBR rootkit code detected apparaît, dans le menu Démarrer, Exécuter tapez "%userprofile%\Bureau\mbr" -f, puis relancer mbr.exe et vérifier que le rapport indique MBR OK. En cas d'infection confirmée, réactiver immédiatement les protections et privilégier une analyse approfondie du système, avec une éventuelle réinstallation si nécessaire pour assurer la sécurité et prévenir d'autres compromissions.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    c'est une partie de ce rapport qui nous "inquiète" :

    https://forums.commentcamarche.net/forum/affich-15478254-cheval-de-troie-tres-resistant#25

    On a vérifié que ce n'était pas nune infection très à la mode (et parfois délicate à éradiquer).

    Ce n'est pas elle.

    Par contre, ce peut en être une autre;

    Fais ceci :

    Télécharge mbr.exe de Gmer ici :
    http://www2.gmer.net/mbr/mbr.exe
    et enregistre le fichier sur le Bureau.

    Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    Double clique sur mbr.exe
    Un rapport sera généré : mbr.log
    En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

    Si c'est le cas, continue comme ça :

    Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
    Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

    Réactive tes protections
    Poste ce rapport et supprimes-le ensuite.

    Pour vérifier

    Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    Relance mbr.exe

    Réactive tes protections.

    Le nouveau mbr.log devrait être celui-ci :

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully

    user: MBR read successfully

    kernel: MBR read successfully

    user & kernel MBR OK

    Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
    Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.

    1
    1. keli
       
      Salut
      Voila le log que sa donner a la première activation

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      kernel: MBR read successfully
      user & kernel MBR OK
      0
  2. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    infecté ...

    essaye de te trouver un clavier normal , on ne sait jamais ....

    /!\ Pour le bon déroulement de la désinfection :
    * Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
    * N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
    * Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
    * Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).

    Commence par ceci pour avoir un rapport plus détaillé qu'hijackthis :

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

    -> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    !! déconnecte toi et ferme toutes tes applications en cours !!

    > double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

    > Lance ZHPDiag depuis le raccourci du bureau .

    > Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
    ( celui avec le tournevis )

    Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

    > Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .

    Laisses travailler l'outil ...

    > Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

    Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

    ( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

    Puis ferme le programme ...

    > rends toi ensuite sur ce site : http://www.cijoint.fr/

    Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
    Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
    Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....

    0
    1. Keli
       
      http://www.cijoint.fr/cjlink.php?file=cj200912/cijEbauKtZ.txt

      voila le lien
      0
  3. Maxx972 Messages postés 129 Statut Membre 10
     
    Je te proposerai bien malwarebytes pour résoudre ton soucis.

    A vrai dire le mieux serais de save tes données et de reinstaller vu l'acitivité.

    sinon malware byte c'est très bien pour clean le pc
    0
  4. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Bien ....

    on attaque .... dans l'ordre :

    1- Lance de nouveau ZHPDiag,

    !! déconnecte toi et ferme toutes tes applications en cours !!

    * Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

    > tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.

    Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .

    * Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

    Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

    * Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...

    ========================

    2- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccouci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal ( qui est vierge ), copie/colle tout le texte qui se trouve sur cette page ( et rien d'autre ! ) :

    > https://www.cjoint.com/?mfisVxnoBt

    Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

    Pense à réactiver tes défenses !...

    =====================

    3- Télécharge Lop S&D (de AngelDark & Eric71) :

    https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2
    ou ici http://eric71.geekstogo.com/tools/LopSD.exe

    ! Déconnecte toi et ferme toutes tes applications en cours !

    Double-clique sur sur l'.exe que tu viens de télécharger pour lancer l'installe .

    Une fois l'installation faite, clique sur le raccourci pour lancer l'outil .

    Là, laisses toi guider:
    --->choisis l'option 1 (recherche) et valides.

    (Tu ne fais pas l'option de nettoyage ( 2 ou 3) ).

    Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
    Poste ce rapport dans ta prochaine réponse pour analyse .

    Tuto : https://sites.google.com/site/eric71mespages/lop.sd.exe

    0
    1. Keli
       
      ok voici le rapport #1 analyse détaillée/md5

      http://www.cijoint.fr/cjlink.php?file=cj200912/cijX6QblSJ.txt



      voici le rapport #2 Zhp fix

      ZHPFix v1.12.22 by Nicolas Coolman - Rapport de suppression du 05/12/2009 2:33:03 AM
      Fichier d'export Registre : C:\ZHPExportRegistry-05-12-2009-2-33-03 AM.txt
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      O64 - Services: CurCS - Sysino (irc.aol.com) - LEGACY_IRC.AOL.COM => Clé supprimée avec succès
      O64 - Services: CS003 - Sysino (irc.aol.com) - LEGACY_IRC.AOL.COM => Clé supprimée avec succès

      Valeur du Registre :
      O4 - HKUS\S-1-5-18\..\Run: [Auto updat] SysDebug.exe => Valeur absente
      O4 - HKUS\S-1-5-18\..\Run: [Sysino] lsess.exe => Valeur absente
      O47 - AAKE:Key Export SP - "H:\Program Files\BitDownload\BitDownload.exe"="H:\Program Files\BitDownload\BitDownload.exe:*:Enabled:Warez3" => Valeur supprimée avec succès

      Elément de données du Registre :
      (Néant)

      Dossier :
      (Néant)

      Fichier :
      sysdebug.exe => Fichier absent
      lsess.exe => Fichier absent

      Logiciel :
      (Néant)

      Script Registre :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 2
      Valeur du Registre : 3
      Elément de données du Registre : 0
      Dossier : 0
      Fichier : 2
      Logiciel : 0
      Autre : 0


      End of the scan

      Le rapport #3 va suivre dans quelques minutes
      0
      1. Keli > Keli
         
        ok voici le rapport #3


        --------------------\\ Lop S&D 4.2.5-0 XP/Vista

        Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
        X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1700+ )
        BIOS : Award Modular BIOS v6.00PG
        USER : Karen Castonguay ( Administrator )
        BOOT : Normal boot
        Antivirus : avast! antivirus 4.8.1368 [VPS 091204-0] 4.8.1368 (Activated)
        Firewall : ZoneAlarm Firewall 7.0.462.000 (Activated)
        A:\ (USB)
        C:\ (Local Disk) - NTFS - Total:37 Go (Free:17 Go)
        D:\ (CD or DVD) - UDF - Total:2 Go (Free:0 Go)
        F:\ (CD or DVD)
        G:\ (CD or DVD)
        H:\ (Local Disk) - NTFS - Total:19 Go (Free:4 Go)
        I:\ (Local Disk) - NTFS - Total:54 Go (Free:8 Go)

        "H:\Lop SD" ( MAJ : 19-12-2008|23:40 )
        Option : [1] ( 05/12/2009| 2:41 )

        --------------------\\ Listing des dossiers dans APPLIC~1

        [26/09/2004|09:31] H:\DOCUME~1\ADMINI~1\APPLIC~1\<REP> Microsoft

        [05/12/2009|01:15] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> {CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
        [04/10/2007|01:42] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Adobe
        [05/12/2005|01:39] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Apple Computer
        [19/02/2009|05:09] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Google
        [31/07/2007|11:38] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Grisoft
        [05/12/2009|01:14] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Lavasoft
        [11/07/2008|05:53] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> MailFrontier
        [12/03/2008|03:55] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Memo save stupid creative
        [06/12/2005|01:58] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Messenger Plus!
        [02/05/2009|05:44] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Microsoft
        [20/04/2005|03:20] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> MSN6
        [01/10/2004|10:16] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> nView_Profiles
        [27/08/2007|05:31] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> PlayFirst
        [05/12/2009|12:44] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Spybot - Search & Destroy
        [09/12/2006|06:26] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Symantec
        [26/09/2006|01:34] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Trymedia
        [17/03/2008|04:59] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> WLInstaller
        [04/09/2007|05:25] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Yahoo!

        [07/05/2007|09:52] H:\DOCUME~1\APPLIC~1\APPLIC~1\<REP> Microsoft

        [26/09/2004|07:20] H:\DOCUME~1\DEFAUL~1\APPLIC~1\<REP> Microsoft

        [07/05/2007|09:52] H:\DOCUME~1\directx9.0\APPLIC~1\<REP> Microsoft

        [08/08/2008|12:51] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Adobe
        [04/10/2007|01:36] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> AdobeUM
        [05/12/2005|01:47] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Apple Computer
        [14/05/2005|10:10] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Atari
        [26/10/2007|11:32] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Azureus
        [18/12/2007|10:12] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DisplayTune
        [11/07/2009|02:24] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DivX
        [11/12/2006|12:18] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DMCache
        [09/12/2006|05:18] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DriveCleaner 2006 Free
        [13/03/2009|01:10] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Free Download Manager
        [22/10/2006|04:33] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Google
        [26/09/2004|09:29] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Help
        [21/08/2007|09:59] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Identities
        [27/09/2004|01:00] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Kazaa Lite
        [13/02/2008|05:27] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Lavasoft
        [14/12/2004|04:12] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Leadertech
        [26/09/2004|07:41] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Macromedia
        [02/07/2009|03:35] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft
        [17/04/2007|11:07] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft Games
        [11/11/2004|11:23] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft Web Folders
        [23/08/2008|11:48] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Mozilla
        [20/04/2005|03:20] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> MSN6
        [07/05/2007|09:52] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> MySpace
        [27/08/2007|06:09] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> PlayFirst
        [11/07/2009|02:51] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> PriceGong
        [28/02/2009|12:49] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Skype
        [27/09/2004|01:05] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Sun
        [26/09/2004|08:20] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Symantec
        [15/03/2007|04:49] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Talkback
        [26/05/2005|09:00] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> teamspeak2
        [28/11/2009|11:54] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Ventrilo
        [23/08/2008|11:15] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Yahoo!
        [21/08/2007|09:59] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Zylom

        [18/05/2006|11:44] H:\DOCUME~1\keli\APPLIC~1\<REP> Identities
        [18/05/2006|11:53] H:\DOCUME~1\keli\APPLIC~1\<REP> Macromedia
        [18/05/2006|11:52] H:\DOCUME~1\keli\APPLIC~1\<REP> Microsoft

        [26/09/2004|07:20] H:\DOCUME~1\LOCALS~1\APPLIC~1\<REP> Microsoft

        [26/09/2004|07:20] H:\DOCUME~1\NETWOR~1\APPLIC~1\<REP> Microsoft
        [03/10/2004|06:21] H:\DOCUME~1\NETWOR~1\APPLIC~1\<REP> Symantec

        --------------------\\ Tâches planifiées dans H:\WINDOWS\tasks

        [05/12/2009 01:29 AM][--a------] H:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
        [05/12/2009 01:20 AM][--ah-----] H:\WINDOWS\tasks\SA.DAT
        [28/08/2001 03:00 AM][-r-h-----] H:\WINDOWS\tasks\desktop.ini

        --------------------\\ Listing des dossiers dans H:\Program Files

        [04/10/2007|01:41] H:\Program Files\<REP> Adobe
        [20/12/2004|01:39] H:\Program Files\<REP> Ahead
        [09/12/2006|06:28] H:\Program Files\<REP> Alwil Software
        [26/06/2006|07:51] H:\Program Files\<REP> ATI Technologies
        [25/02/2009|01:26] H:\Program Files\<REP> CCleaner
        [26/09/2004|07:17] H:\Program Files\<REP> ComPlus Applications
        [10/04/2007|10:30] H:\Program Files\<REP> Continuum
        [12/06/2009|11:34] H:\Program Files\<REP> CyberFlix
        [14/12/2004|04:40] H:\Program Files\<REP> directx
        [23/10/2006|11:33] H:\Program Files\<REP> Druide
        [04/12/2009|03:18] H:\Program Files\<REP> Fichiers communs
        [01/05/2007|12:51] H:\Program Files\<REP> Free Download Manager
        [19/02/2009|05:12] H:\Program Files\<REP> Google
        [27/09/2004|01:14] H:\Program Files\<REP> Hewlett-Packard
        [27/09/2004|01:18] H:\Program Files\<REP> hp deskjet 656c series
        [05/08/2008|05:30] H:\Program Files\<REP> Incomplete
        [04/12/2009|12:28] H:\Program Files\<REP> InstallShield Installation Information
        [02/05/2009|05:47] H:\Program Files\<REP> Internet Explorer
        [03/12/2009|07:49] H:\Program Files\<REP> IrfanView
        [25/11/2009|07:14] H:\Program Files\<REP> Java
        [26/09/2004|08:54] H:\Program Files\<REP> Kerio
        [05/12/2009|01:14] H:\Program Files\<REP> Lavasoft
        [03/02/2007|04:40] H:\Program Files\<REP> Logitech
        [12/12/2005|01:35] H:\Program Files\<REP> Messenger
        [02/05/2009|05:57] H:\Program Files\<REP> Microsoft
        [11/11/2004|11:23] H:\Program Files\<REP> microsoft frontpage
        [02/05/2009|05:57] H:\Program Files\<REP> Microsoft Office Outlook Connector
        [02/05/2009|05:57] H:\Program Files\<REP> Microsoft Silverlight
        [02/05/2009|05:42] H:\Program Files\<REP> Microsoft SQL Server Compact Edition
        [02/05/2009|05:44] H:\Program Files\<REP> Microsoft Sync Framework
        [13/11/2004|10:22] H:\Program Files\<REP> Microsoft.NET
        [01/10/2004|11:31] H:\Program Files\<REP> Movie Maker
        [05/12/2009|02:35] H:\Program Files\<REP> Mozilla Firefox
        [26/09/2004|07:17] H:\Program Files\<REP> MSN
        [31/10/2005|05:12] H:\Program Files\<REP> MSN Apps
        [26/09/2004|07:17] H:\Program Files\<REP> MSN Gaming Zone
        [01/10/2004|11:28] H:\Program Files\<REP> NetMeeting
        [09/12/2006|07:02] H:\Program Files\<REP> Norton AntiVirus
        [14/04/2006|04:39] H:\Program Files\<REP> Outlook Express
        [29/11/2004|11:06] H:\Program Files\<REP> PANASONIC
        [18/12/2007|10:10] H:\Program Files\<REP> Portrait Displays
        [05/12/2005|01:40] H:\Program Files\<REP> QuickTime
        [15/03/2007|05:14] H:\Program Files\<REP> Rainlendar2
        [26/09/2004|07:19] H:\Program Files\<REP> Services en ligne
        [05/12/2009|12:44] H:\Program Files\<REP> Spybot - Search & Destroy
        [27/07/2008|11:32] H:\Program Files\<REP> Sun
        [26/09/2004|07:26] H:\Program Files\<REP> Uninstall Information
        [01/06/2006|12:33] H:\Program Files\<REP> uTorrent
        [30/11/2007|01:47] H:\Program Files\<REP> Ventrilo
        [02/05/2009|05:56] H:\Program Files\<REP> Windows Live
        [02/05/2009|05:37] H:\Program Files\<REP> Windows Live SkyDrive
        [17/02/2006|04:56] H:\Program Files\<REP> Windows Media Player
        [01/10/2004|11:28] H:\Program Files\<REP> Windows NT
        [26/09/2004|07:45] H:\Program Files\<REP> WindowsUpdate
        [05/12/2005|04:35] H:\Program Files\<REP> WinRAR
        [26/09/2004|07:21] H:\Program Files\<REP> xerox
        [04/12/2007|01:40] H:\Program Files\<REP> Yahoo!
        [04/11/2004|12:49] H:\Program Files\<REP> Zero G Registry
        [12/07/2008|08:29] H:\Program Files\<REP> Zone Labs

        --------------------\\ Listing des dossiers dans H:\Program Files\Fichiers communs

        [04/10/2007|01:41] H:\Program Files\Fichiers communs\<REP> Adobe
        [20/12/2004|01:39] H:\Program Files\Fichiers communs\<REP> Ahead
        [13/11/2004|10:21] H:\Program Files\Fichiers communs\<REP> DESIGNER
        [14/05/2005|10:09] H:\Program Files\Fichiers communs\<REP> InstallShield
        [27/09/2004|03:09] H:\Program Files\Fichiers communs\<REP> Java
        [03/02/2007|04:41] H:\Program Files\Fichiers communs\<REP> Logitech
        [02/05/2009|05:37] H:\Program Files\Fichiers communs\<REP> Microsoft Shared
        [26/09/2004|07:18] H:\Program Files\Fichiers communs\<REP> MSSoap
        [26/09/2004|02:08] H:\Program Files\Fichiers communs\<REP> ODBC
        [18/12/2007|10:10] H:\Program Files\Fichiers communs\<REP> Portrait Displays
        [26/09/2004|07:18] H:\Program Files\Fichiers communs\<REP> Services
        [17/12/2005|09:29] H:\Program Files\Fichiers communs\<REP> snpstd2
        [26/09/2004|02:08] H:\Program Files\Fichiers communs\<REP> SpeechEngines
        [11/12/2006|07:51] H:\Program Files\Fichiers communs\<REP> Symantec Shared
        [14/04/2006|04:41] H:\Program Files\Fichiers communs\<REP> System
        [14/12/2004|04:40] H:\Program Files\Fichiers communs\<REP> Vbox
        [02/05/2009|05:19] H:\Program Files\Fichiers communs\<REP> Windows Live
        [17/03/2008|04:59] H:\Program Files\Fichiers communs\<REP> WindowsLiveInstaller

        --------------------\\ Process

        ( 43 Processes )

        ... OK !

        --------------------\\ Recherche avec S_Lop

        Aucun fichier / dossier Lop trouvé !

        --------------------\\ Recherche de Fichiers / Dossiers Lop

        H:\DOCUME~1\ALLUSE~1\APPLIC~1\Memo save stupid creative
        H:\DOCUME~1\KARENC~1\MENUDM~1\PROGRA~1\BitDownload
        H:\DOCUME~1\KARENC~1\MENUDM~1\PROGRA~1\BitDownload\BitDownload Downloads.lnk

        --------------------\\ Verification du Registre

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

        ..... OK !

        --------------------\\ Verification du fichier Hosts

        Fichier Hosts PROPRE


        --------------------\\ Recherche de fichiers avec Catchme

        catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
        Rootkit scan 2009-12-05 02:45:42
        Windows 5.1.2600 Service Pack 2 NTFS
        scanning hidden processes ...
        scanning hidden files ...
        scan completed successfully
        hidden processes: 0
        hidden files: 0

        --------------------\\ Recherche d'autres infections

        --------------------\\ ROGUES ..

        H:\DOCUME~1\KARENC~1\APPLIC~1\DriveCleaner 2006 Free

        --------------------\\ Cracks & Keygens ..

        H:\DOCUME~1\KARENC~1\Bureau\MQ2-MMOPlugins-5-21-09\MQ2DoCrack.dll
        H:\DOCUME~1\KARENC~1\Bureau\MQ2-MMOPlugins-5-21-09\UIFiles\MQUI_DoCrackWnd.xml
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\file_id.diz
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\Keygen.exe
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\keygen.nfo
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\NBR6603FRA.exe
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\nero6603.exe
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\orion.nfo


        [F:3][D:3]-> H:\DOCUME~1\KARENC~1\LOCALS~1\Temp
        [F:9][D:0]-> H:\DOCUME~1\KARENC~1\Cookies
        [F:6][D:4]-> H:\DOCUME~1\KARENC~1\LOCALS~1\TEMPOR~1\content.IE5

        1 - "H:\Lop SD\LopR_1.txt" - 05/12/2009| 2:47 - Option : [1]

        --------------------\\ Fin du rapport a 2:47:12
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Re,

    arrête les crack et autre keygen , c'est l'une des cause principal d'infection en informatique ... !

    la suite :

    1- ! Déconnecte toi et ferme toutes tes applications en cours !

    Relance Lop S&D ,

    ---> choisis cette fois l'option 2 ( nettoyage ) et valide ...

    -> ne touche à rien pendant que l'outil travail .

    Une fois le scan terminer ,le Bloc-Notes contenant le rapport va s'ouvrir.
    Poste ce rapport dans ta prochaine réponse pour analyse ...

    =========================

    2- Refais un scan ZHPDiag( 'normal' ), coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. Keli
       
      Question
      C'est quoi les cracks et keygen ?
      0
      1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463 > Keli
         
        ces petits prg qui servent à pirater un logiciel payant ... regarde à la fin du rapport de Lop ... ;)


        fais la suite stp ....

        0
      2. Keli > sKe69 Messages postés 21955 Statut Contributeur sécurité
         
        Je le fesais en même temps que tu me répondais :)

        rapport #1


        --------------------\\ Lop S&D 4.2.5-0 XP/Vista

        Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
        X86-based PC ( Uniprocessor Free : AMD Athlon(tm) XP 1700+ )
        BIOS : Award Modular BIOS v6.00PG
        USER : Karen Castonguay ( Administrator )
        BOOT : Normal boot
        Antivirus : avast! antivirus 4.8.1368 [VPS 091204-0] 4.8.1368 (Not Activated)
        Firewall : ZoneAlarm Firewall 7.0.462.000 (Not Activated)
        A:\ (USB)
        C:\ (Local Disk) - NTFS - Total:37 Go (Free:17 Go)
        D:\ (CD or DVD) - UDF - Total:2 Go (Free:0 Go)
        F:\ (CD or DVD)
        G:\ (CD or DVD)
        H:\ (Local Disk) - NTFS - Total:19 Go (Free:4 Go)
        I:\ (Local Disk) - NTFS - Total:54 Go (Free:8 Go)

        "H:\Lop SD" ( MAJ : 19-12-2008|23:40 )
        Option : [2] ( 05/12/2009| 3:03 )


        \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ SUPPRESSION

        Supprime! - H:\DOCUME~1\KARENC~1\MENUDM~1\PROGRA~1\BitDownload\BitDownload Downloads.lnk
        Supprime! - H:\DOCUME~1\ALLUSE~1\APPLIC~1\Memo save stupid creative
        Supprime! - H:\DOCUME~1\KARENC~1\MENUDM~1\PROGRA~1\BitDownload
        -
        [ Fichier Hosts ] .. Restaure!

        \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\


        --------------------\\ Listing des dossiers dans APPLIC~1

        [26/09/2004|09:31] H:\DOCUME~1\ADMINI~1\APPLIC~1\<REP> Microsoft

        [05/12/2009|01:15] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> {CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
        [04/10/2007|01:42] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Adobe
        [05/12/2005|01:39] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Apple Computer
        [19/02/2009|05:09] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Google
        [31/07/2007|11:38] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Grisoft
        [05/12/2009|01:14] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Lavasoft
        [11/07/2008|05:53] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> MailFrontier
        [06/12/2005|01:58] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Messenger Plus!
        [02/05/2009|05:44] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Microsoft
        [20/04/2005|03:20] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> MSN6
        [01/10/2004|10:16] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> nView_Profiles
        [27/08/2007|05:31] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> PlayFirst
        [05/12/2009|12:44] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Spybot - Search & Destroy
        [09/12/2006|06:26] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Symantec
        [26/09/2006|01:34] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Trymedia
        [17/03/2008|04:59] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> WLInstaller
        [04/09/2007|05:25] H:\DOCUME~1\ALLUSE~1\APPLIC~1\<REP> Yahoo!

        [07/05/2007|09:52] H:\DOCUME~1\APPLIC~1\APPLIC~1\<REP> Microsoft

        [26/09/2004|07:20] H:\DOCUME~1\DEFAUL~1\APPLIC~1\<REP> Microsoft

        [07/05/2007|09:52] H:\DOCUME~1\directx9.0\APPLIC~1\<REP> Microsoft

        [08/08/2008|12:51] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Adobe
        [04/10/2007|01:36] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> AdobeUM
        [05/12/2005|01:47] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Apple Computer
        [14/05/2005|10:10] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Atari
        [26/10/2007|11:32] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Azureus
        [18/12/2007|10:12] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DisplayTune
        [11/07/2009|02:24] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DivX
        [11/12/2006|12:18] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DMCache
        [09/12/2006|05:18] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> DriveCleaner 2006 Free
        [13/03/2009|01:10] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Free Download Manager
        [22/10/2006|04:33] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Google
        [26/09/2004|09:29] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Help
        [21/08/2007|09:59] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Identities
        [27/09/2004|01:00] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Kazaa Lite
        [13/02/2008|05:27] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Lavasoft
        [14/12/2004|04:12] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Leadertech
        [26/09/2004|07:41] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Macromedia
        [02/07/2009|03:35] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft
        [17/04/2007|11:07] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft Games
        [11/11/2004|11:23] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Microsoft Web Folders
        [23/08/2008|11:48] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Mozilla
        [20/04/2005|03:20] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> MSN6
        [07/05/2007|09:52] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> MySpace
        [27/08/2007|06:09] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> PlayFirst
        [11/07/2009|02:51] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> PriceGong
        [28/02/2009|12:49] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Skype
        [27/09/2004|01:05] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Sun
        [26/09/2004|08:20] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Symantec
        [15/03/2007|04:49] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Talkback
        [26/05/2005|09:00] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> teamspeak2
        [28/11/2009|11:54] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Ventrilo
        [23/08/2008|11:15] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Yahoo!
        [21/08/2007|09:59] H:\DOCUME~1\KARENC~1\APPLIC~1\<REP> Zylom

        [18/05/2006|11:44] H:\DOCUME~1\keli\APPLIC~1\<REP> Identities
        [18/05/2006|11:53] H:\DOCUME~1\keli\APPLIC~1\<REP> Macromedia
        [18/05/2006|11:52] H:\DOCUME~1\keli\APPLIC~1\<REP> Microsoft

        [26/09/2004|07:20] H:\DOCUME~1\LOCALS~1\APPLIC~1\<REP> Microsoft

        [26/09/2004|07:20] H:\DOCUME~1\NETWOR~1\APPLIC~1\<REP> Microsoft
        [03/10/2004|06:21] H:\DOCUME~1\NETWOR~1\APPLIC~1\<REP> Symantec

        --------------------\\ Tâches planifiées dans H:\WINDOWS\tasks

        [05/12/2009 01:29 AM][--a------] H:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
        [05/12/2009 01:20 AM][--ah-----] H:\WINDOWS\tasks\SA.DAT
        [28/08/2001 03:00 AM][-r-h-----] H:\WINDOWS\tasks\desktop.ini

        --------------------\\ Listing des dossiers dans H:\Program Files

        [04/10/2007|01:41] H:\Program Files\<REP> Adobe
        [20/12/2004|01:39] H:\Program Files\<REP> Ahead
        [09/12/2006|06:28] H:\Program Files\<REP> Alwil Software
        [26/06/2006|07:51] H:\Program Files\<REP> ATI Technologies
        [25/02/2009|01:26] H:\Program Files\<REP> CCleaner
        [26/09/2004|07:17] H:\Program Files\<REP> ComPlus Applications
        [10/04/2007|10:30] H:\Program Files\<REP> Continuum
        [12/06/2009|11:34] H:\Program Files\<REP> CyberFlix
        [14/12/2004|04:40] H:\Program Files\<REP> directx
        [23/10/2006|11:33] H:\Program Files\<REP> Druide
        [04/12/2009|03:18] H:\Program Files\<REP> Fichiers communs
        [01/05/2007|12:51] H:\Program Files\<REP> Free Download Manager
        [19/02/2009|05:12] H:\Program Files\<REP> Google
        [27/09/2004|01:14] H:\Program Files\<REP> Hewlett-Packard
        [27/09/2004|01:18] H:\Program Files\<REP> hp deskjet 656c series
        [05/08/2008|05:30] H:\Program Files\<REP> Incomplete
        [04/12/2009|12:28] H:\Program Files\<REP> InstallShield Installation Information
        [02/05/2009|05:47] H:\Program Files\<REP> Internet Explorer
        [03/12/2009|07:49] H:\Program Files\<REP> IrfanView
        [25/11/2009|07:14] H:\Program Files\<REP> Java
        [26/09/2004|08:54] H:\Program Files\<REP> Kerio
        [05/12/2009|01:14] H:\Program Files\<REP> Lavasoft
        [03/02/2007|04:40] H:\Program Files\<REP> Logitech
        [12/12/2005|01:35] H:\Program Files\<REP> Messenger
        [02/05/2009|05:57] H:\Program Files\<REP> Microsoft
        [11/11/2004|11:23] H:\Program Files\<REP> microsoft frontpage
        [02/05/2009|05:57] H:\Program Files\<REP> Microsoft Office Outlook Connector
        [02/05/2009|05:57] H:\Program Files\<REP> Microsoft Silverlight
        [02/05/2009|05:42] H:\Program Files\<REP> Microsoft SQL Server Compact Edition
        [02/05/2009|05:44] H:\Program Files\<REP> Microsoft Sync Framework
        [13/11/2004|10:22] H:\Program Files\<REP> Microsoft.NET
        [01/10/2004|11:31] H:\Program Files\<REP> Movie Maker
        [05/12/2009|02:47] H:\Program Files\<REP> Mozilla Firefox
        [26/09/2004|07:17] H:\Program Files\<REP> MSN
        [31/10/2005|05:12] H:\Program Files\<REP> MSN Apps
        [26/09/2004|07:17] H:\Program Files\<REP> MSN Gaming Zone
        [01/10/2004|11:28] H:\Program Files\<REP> NetMeeting
        [09/12/2006|07:02] H:\Program Files\<REP> Norton AntiVirus
        [14/04/2006|04:39] H:\Program Files\<REP> Outlook Express
        [29/11/2004|11:06] H:\Program Files\<REP> PANASONIC
        [18/12/2007|10:10] H:\Program Files\<REP> Portrait Displays
        [05/12/2005|01:40] H:\Program Files\<REP> QuickTime
        [15/03/2007|05:14] H:\Program Files\<REP> Rainlendar2
        [26/09/2004|07:19] H:\Program Files\<REP> Services en ligne
        [05/12/2009|12:44] H:\Program Files\<REP> Spybot - Search & Destroy
        [27/07/2008|11:32] H:\Program Files\<REP> Sun
        [26/09/2004|07:26] H:\Program Files\<REP> Uninstall Information
        [01/06/2006|12:33] H:\Program Files\<REP> uTorrent
        [30/11/2007|01:47] H:\Program Files\<REP> Ventrilo
        [02/05/2009|05:56] H:\Program Files\<REP> Windows Live
        [02/05/2009|05:37] H:\Program Files\<REP> Windows Live SkyDrive
        [17/02/2006|04:56] H:\Program Files\<REP> Windows Media Player
        [01/10/2004|11:28] H:\Program Files\<REP> Windows NT
        [26/09/2004|07:45] H:\Program Files\<REP> WindowsUpdate
        [05/12/2005|04:35] H:\Program Files\<REP> WinRAR
        [26/09/2004|07:21] H:\Program Files\<REP> xerox
        [04/12/2007|01:40] H:\Program Files\<REP> Yahoo!
        [04/11/2004|12:49] H:\Program Files\<REP> Zero G Registry
        [12/07/2008|08:29] H:\Program Files\<REP> Zone Labs

        --------------------\\ Listing des dossiers dans H:\Program Files\Fichiers communs

        [04/10/2007|01:41] H:\Program Files\Fichiers communs\<REP> Adobe
        [20/12/2004|01:39] H:\Program Files\Fichiers communs\<REP> Ahead
        [13/11/2004|10:21] H:\Program Files\Fichiers communs\<REP> DESIGNER
        [14/05/2005|10:09] H:\Program Files\Fichiers communs\<REP> InstallShield
        [27/09/2004|03:09] H:\Program Files\Fichiers communs\<REP> Java
        [03/02/2007|04:41] H:\Program Files\Fichiers communs\<REP> Logitech
        [02/05/2009|05:37] H:\Program Files\Fichiers communs\<REP> Microsoft Shared
        [26/09/2004|07:18] H:\Program Files\Fichiers communs\<REP> MSSoap
        [26/09/2004|02:08] H:\Program Files\Fichiers communs\<REP> ODBC
        [18/12/2007|10:10] H:\Program Files\Fichiers communs\<REP> Portrait Displays
        [26/09/2004|07:18] H:\Program Files\Fichiers communs\<REP> Services
        [17/12/2005|09:29] H:\Program Files\Fichiers communs\<REP> snpstd2
        [26/09/2004|02:08] H:\Program Files\Fichiers communs\<REP> SpeechEngines
        [11/12/2006|07:51] H:\Program Files\Fichiers communs\<REP> Symantec Shared
        [14/04/2006|04:41] H:\Program Files\Fichiers communs\<REP> System
        [14/12/2004|04:40] H:\Program Files\Fichiers communs\<REP> Vbox
        [02/05/2009|05:19] H:\Program Files\Fichiers communs\<REP> Windows Live
        [17/03/2008|04:59] H:\Program Files\Fichiers communs\<REP> WindowsLiveInstaller

        --------------------\\ Process

        ( 39 Processes )

        ... OK !

        --------------------\\ Recherche avec S_Lop

        Aucun fichier / dossier Lop trouvé !

        --------------------\\ Recherche de Fichiers / Dossiers Lop

        Aucun fichier / dossier Lop trouvé !

        --------------------\\ Verification du Registre

        ..... OK !

        --------------------\\ Verification du fichier Hosts

        Fichier Hosts PROPRE


        --------------------\\ Recherche de fichiers avec Catchme

        catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
        Rootkit scan 2009-12-05 03:06:24
        Windows 5.1.2600 Service Pack 2 NTFS
        scanning hidden processes ...
        scanning hidden files ...
        scan completed successfully
        hidden processes: 0
        hidden files: 0

        --------------------\\ Recherche d'autres infections

        --------------------\\ ROGUES ..

        H:\DOCUME~1\KARENC~1\APPLIC~1\DriveCleaner 2006 Free

        --------------------\\ Cracks & Keygens ..

        H:\DOCUME~1\KARENC~1\Bureau\MQ2-MMOPlugins-5-21-09\MQ2DoCrack.dll
        H:\DOCUME~1\KARENC~1\Bureau\MQ2-MMOPlugins-5-21-09\UIFiles\MQUI_DoCrackWnd.xml
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\file_id.diz
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\Keygen.exe
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\keygen.nfo
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\NBR6603FRA.exe
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\nero6603.exe
        H:\DOCUME~1\KARENC~1\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\orion.nfo


        [F:3][D:3]-> H:\DOCUME~1\KARENC~1\LOCALS~1\Temp
        [F:9][D:0]-> H:\DOCUME~1\KARENC~1\Cookies
        [F:6][D:4]-> H:\DOCUME~1\KARENC~1\LOCALS~1\TEMPOR~1\content.IE5

        1 - "H:\Lop SD\LopR_1.txt" - 05/12/2009| 2:47 - Option : [1]
        2 - "H:\Lop SD\LopR_2.txt" - 05/12/2009| 3:07 - Option : [2]

        --------------------\\ Fin du rapport a 3:07:28



        Rapport #2

        http://www.cijoint.fr/cjlink.php?file=cj200912/cijRDoPW5y.txt

        Et voila :)
        0
  7. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Re,

    on continue .... dans l'ordre :

    1- Télécharge Malwarebytes' :
    ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    ou ici : http://www.malwarebytes.org/mbam.php

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

    * Potasse le tuto pour te familiariser avec le prg :
    https://forum.pcastuces.com/sujet.asp?f=31&s=3
    ( cela dis, il est très simple d'utilisation ).

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebytes' .

    Fais un examen dit "RAPIDE" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

    =======================

    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. Keli
       
      Re
      Ok voici le rapport de malwarebytes

      Malwarebytes' Anti-Malware 1.42
      Version de la base de données: 3299
      Windows 5.1.2600 Service Pack 2
      Internet Explorer 6.0.2900.2180

      05/12/2009 3:31:50 AM
      mbam-log-2009-12-05 (03-31-50).txt

      Type de recherche: Examen rapide
      Eléments examinés: 130262
      Temps écoulé: 8 minute(s), 5 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 11
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 4
      Fichier(s) infecté(s): 29

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8fcdf9d9-a28b-480f-8c3d-581f119a8ab8} (Adware.180Solutions) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{386a771c-e96a-421f-8ba7-32f1b706892f} (Adware.ISTBar) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{42f2c9ba-614f-47c0-b3e3-ecfd34eed658} (Adware.ISTBar) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{30000273-8230-4dd4-be4f-6889d1e74167} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{511f9316-771b-4953-a268-1c36da667fe9} (Trojan.Dialer) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{efb22865-f3bc-4309-adfa-c8e078a7f762} (Trojan.Dialer) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Swizzor) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d2a2595c-4fe4-4315-aa9b-19dbd6271b71} (Adware.PriceGong) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\Local Page (Hijack.SearchPage) -> Bad: (http://www.iesearch.com/) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      H:\Documents and Settings\Karen Castonguay\Application Data\DriveCleaner 2006 Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\DriveCleaner 2006 Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data (Adware.PriceGong) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      H:\Documents and Settings\Karen Castonguay\Application Data\DriveCleaner 2006 Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\1.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\a.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\b.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\c.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\d.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\e.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\f.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\g.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\h.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\i.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\J.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\k.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\l.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\m.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\mru.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\n.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\o.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\p.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\q.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\r.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\s.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\t.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\u.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\v.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\w.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\x.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\y.xml (Adware.PriceGong) -> Quarantined and deleted successfully.
      H:\Documents and Settings\Karen Castonguay\Application Data\PriceGong\Data\z.xml (Adware.PriceGong) -> Quarantined and deleted successfully.


      Et le lien pour Zhp diag

      http://www.cijoint.fr/cjlink.php?file=cj200912/cijb24dSVW.txt
      0
  8. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ...

    on avance ...

    dans l'ordre :

    1- Supprime tout ce qui se trouve dans la quarantaine de Malwarebytes.

    =======================

    2- Utilisation CCleaner:
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

    ! déconnecte toi et ferme toutes applications en cours !

    * va dans "nettoyeur" : fais -analyse- puis -nettoyage-
    * va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
    ( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

    ========================

    3- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    --------------------------------- [ ! ATTENTION ! ] ------------------------------------------
    !! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
    en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
    --->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
    Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
    --------------------------------------------------------------------------------------------

    Ensuite :
    > Double-clique sur l'icône "Combofix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...

    -- Pour XP, l' installation de la Console de Récupération sera demandé :
    * Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
    image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
    *Reconnecte toi avant de cliquer sur "yes", et uniquement le temps de cette manipulation.
    *Une fois la console installée,
    image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
    re-déconnecte toi avant de cliquer sur "yes" pour lancer le scan --

    Notes importantes :
    -> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
    -> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses .

    Poste le rapport Combofix accompagné pour analyse ...

    ==================

    4- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. keli
       
      ok voici

      rapport combofix

      ComboFix 09-12-04.02 - Karen Castonguay 05/12/2009 4:33.1.1 - x86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.2.1036.18.1279.753 [GMT -5:00]
      Running from: h:\documents and settings\Karen Castonguay\Bureau\ComboFix.exe
      AV: avast! antivirus 4.8.1368 [VPS 091205-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
      FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
      .

      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      h:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
      h:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
      h:\documents and settings\All Users\Application Data\Microsoft\WLSetup
      h:\documents and settings\All Users\Application Data\Microsoft\WLSetup\Logs\2009-05-02_18-19_ebc-aaxy9h6p.log
      h:\recycler\NPROTECT

      ----- BITS: Possible infected sites -----

      hxxp://patch.everquest.com:7001
      .
      ((((((((((((((((((((((((( Files Created from 2009-11-05 to 2009-12-05 )))))))))))))))))))))))))))))))
      .

      2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Malwarebytes
      2009-12-05 08:19 . 2009-12-03 21:14 38224 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
      2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\All Users\Application Data\Malwarebytes
      2009-12-05 08:19 . 2009-12-03 21:13 19160 ----a-w- h:\windows\system32\drivers\mbam.sys
      2009-12-05 08:19 . 2009-12-05 08:31 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
      2009-12-05 08:09 . 2009-12-05 08:09 -------- d-----w- h:\windows\system32\LogFiles
      2009-12-05 07:40 . 2009-12-05 08:07 -------- d-----w- H:\Lop SD
      2009-12-05 06:17 . 2009-09-23 12:55 64288 ----a-w- h:\windows\system32\drivers\Lbd.sys
      2009-12-05 06:14 . 2009-12-05 06:15 -------- dc-h--w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
      2009-12-05 06:14 . 2009-10-03 08:15 2924848 -c--a-w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
      2009-11-26 00:13 . 2009-11-26 00:13 152576 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
      2009-11-26 00:13 . 2009-11-26 00:13 79488 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-12-05 09:41 . 2008-07-11 23:00 43601952 --sha-w- h:\windows\system32\drivers\fidbox.dat
      2009-12-05 08:32 . 2008-07-11 23:00 512456 --sha-w- h:\windows\system32\drivers\fidbox.idx
      2009-12-05 06:14 . 2008-02-13 10:28 -------- d-----w- h:\documents and settings\All Users\Application Data\Lavasoft
      2009-12-05 06:14 . 2004-09-27 01:44 -------- d-----w- h:\program files\Lavasoft
      2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\program files\Spybot - Search & Destroy
      2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2009-12-04 05:28 . 2004-11-30 04:06 -------- d--h--w- h:\program files\InstallShield Installation Information
      2009-12-04 00:49 . 2007-01-31 09:54 -------- d-----w- h:\program files\IrfanView
      2009-11-29 04:54 . 2005-02-25 05:20 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Ventrilo
      2009-11-29 04:20 . 2001-08-28 08:00 74172 ----a-w- h:\windows\system32\perfc00C.dat
      2009-11-29 04:20 . 2001-08-28 08:00 465264 ----a-w- h:\windows\system32\perfh00C.dat
      2009-11-26 00:14 . 2004-09-27 08:09 -------- d-----w- h:\program files\Java
      2009-11-24 23:54 . 2006-12-09 11:28 1280480 ----a-w- h:\windows\system32\aswBoot.exe
      2009-11-24 23:51 . 2006-12-09 11:28 93424 ----a-w- h:\windows\system32\drivers\aswmon.sys
      2009-11-24 23:50 . 2006-12-09 11:28 94160 ----a-w- h:\windows\system32\drivers\aswmon2.sys
      2009-11-24 23:50 . 2008-04-05 06:44 114768 ----a-w- h:\windows\system32\drivers\aswSP.sys
      2009-11-24 23:50 . 2008-04-05 06:44 20560 ----a-w- h:\windows\system32\drivers\aswFsBlk.sys
      2009-11-24 23:49 . 2006-12-09 11:28 48560 ----a-w- h:\windows\system32\drivers\aswTdi.sys
      2009-11-24 23:48 . 2006-12-09 11:28 23120 ----a-w- h:\windows\system32\drivers\aswRdr.sys
      2009-11-24 23:47 . 2006-12-09 11:28 27408 ----a-w- h:\windows\system32\drivers\aavmker4.sys
      2009-11-24 23:47 . 2006-12-09 11:28 97480 ----a-w- h:\windows\system32\AVASTSS.scr
      2009-11-13 22:00 . 2009-03-02 22:27 11520245 ----a-w- h:\windows\Internet Logs\tvDebug.zip
      2009-10-11 09:17 . 2008-11-28 03:02 411368 ----a-w- h:\windows\system32\deploytk.dll
      .

      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "msnmsgr"="h:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
      "swg"="h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-20 68856]
      "Rainlendar2"="h:\program files\Rainlendar2\Rainlendar2.exe" [2007-07-24 1298432]
      "DWQueuedReporting"="h:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avast!"="h:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
      "QuickTime Task"="h:\program files\QuickTime\qttask.exe" [2005-12-05 155648]
      "Adobe Reader Speed Launcher"="h:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
      "DT LGE"="h:\program files\Portrait Displays\forteManager\DTHtml.exe" [2007-06-12 291328]
      "ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
      "SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=h:\windows\system32\MsgPlusLoader.dll

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
      @="Service"

      [HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.exe.lnk]
      path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk
      backup=h:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "h:\\Program Files\\Java\\j2re1.4.2_05\\bin\\javaw.exe"=
      "h:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
      "h:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
      "c:\\Stronghold2.exe"=
      "h:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
      "h:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
      "h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
      "h:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\EQ\\EQVoiceService.exe"=

      R0 d347bus;d347bus;h:\windows\system32\drivers\d347bus.sys [14/05/2005 9:53 PM 155136]
      R0 d347prt;d347prt;h:\windows\system32\drivers\d347prt.sys [14/05/2005 9:53 PM 5248]
      R0 Lbd;Lbd;h:\windows\system32\drivers\Lbd.sys [05/12/2009 1:17 AM 64288]
      R1 aswSP;avast! Self Protection;h:\windows\system32\drivers\aswSP.sys [05/04/2008 1:44 AM 114768]
      R1 kbfilter;Keyboard Filter Driver;h:\windows\system32\drivers\kbfilter.sys [17/12/2005 9:43 PM 12544]
      R2 aswFsBlk;aswFsBlk;h:\windows\system32\drivers\aswFsBlk.sys [05/04/2008 1:44 AM 20560]
      R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [02/05/2009 5:56 PM 55152]
      S2 IcRecUsb;IC Recorder Driver;h:\windows\system32\drivers\IcRecUsb.sys [29/11/2004 11:04 PM 17432]
      S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;h:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 6:17 AM 1184912]
      S3 fsssvc;Windows Live Contrôle parental;h:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 5:08 PM 533360]
      S4 irc.aol.com;Sysino;"h:\windows\System32\lsess.exe" -netsvcs --> h:\windows\System32\lsess.exe [?]
      .
      Contents of the 'Scheduled Tasks' folder

      2009-12-05 h:\windows\Tasks\Ad-Aware Update (Weekly).job
      - h:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 06:16]
      .
      .
      ------- Supplementary Scan -------
      .
      mStart Page = hxxp://www.yahoo.com/
      mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
      uInternet Connection Wizard,ShellNext = iexplore
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      IE: Download all with Free Download Manager - file://h:\program files\Free Download Manager\dlall.htm
      IE: Download selected with Free Download Manager - file://h:\program files\Free Download Manager\dlselected.htm
      IE: Download web site with Free Download Manager - file://h:\program files\Free Download Manager\dlpage.htm
      IE: Download with Free Download Manager - file://h:\program files\Free Download Manager\dllink.htm
      IE: E&xporter vers Microsoft Excel - i:\groupe~1\OFFICE11\EXCEL.EXE/3000
      FF - ProfilePath - h:\documents and settings\Karen Castonguay\Application Data\Mozilla\Firefox\Profiles\hdatpnr2.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
      FF - prefs.js: browser.search.selectedEngine - Live Search
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca/
      FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
      FF - plugin: h:\program files\Microsoft\Office Live\npOLW.dll
      FF - plugin: h:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
      FF - plugin: h:\program files\Windows Live\Photo Gallery\NPWLPG.dll
      .
      - - - - ORPHANS REMOVED - - - -

      WebBrowser-{D0523BB4-21E7-11DD-9AB7-415B56D89593} - (no file)
      HKU-Default-RunOnce-IETI - c:\phone\IEPlugin\unins000.exe
      HKU-Default-RunOnce-Auto updat - SysDebug.exe
      HKU-Default-RunOnce-Sysino - lsess.exe
      AddRemove-Ad-Aware - h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe REMOVE=TRUE MODIFY=FALSE
      AddRemove-NVIDIA Display Driver - h:\windows\System32\nvudisp.exe Uninstall



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-12-05 04:40
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x894953C8]<<
      kernel: MBR read successfully
      detected MBR rootkit hooks:
      \Driver\Disk -> CLASSPNP.SYS @ 0xf764bfc3
      \Driver\ACPI -> ACPI.sys @ 0xf74e7cb8
      \Driver\atapi -> 0x894953c8
      IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
      ParseProcedure -> ntoskrnl.exe @ 0x8057016c
      \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
      ParseProcedure -> ntoskrnl.exe @ 0x8057016c
      Warning: possible MBR rootkit infection !
      user & kernel MBR OK

      **************************************************************************
      .
      --------------------- DLLs Loaded Under Running Processes ---------------------

      - - - - - - - > 'winlogon.exe'(440)
      h:\windows\system32\MsgPlusLoader.dll
      h:\windows\system32\Ati2evxx.dll

      - - - - - - - > 'lsass.exe'(496)
      h:\windows\system32\MsgPlusLoader.dll
      .
      Completion time: 2009-12-05 04:44
      ComboFix-quarantined-files.txt 2009-12-05 09:44

      Pre-Run: 4,647,780,352 octets libres
      Post-Run: 5,487,992,832 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      h:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

      - - End Of File - - C532EA5D5276DCD75233920DB180BDD2






      rapport Zhp diag
      http://www.cijoint.fr/cjlink.php?file=cj200912/cij1eNtHwN.txt

      Quand j'ai ouvert mon navigateur, ca ma demander si je voulais avoir mozilla firefox comme navigateur, j'ai répondu oui, et la je ne suis plus capable d'avoir de multiple bar qui s'ouvre quand je clique sur un nouveau lien.
      0
      1. keli > keli
         
        Oh et aussi quand je suis aller sur Cijoint pour faire le lien, la page a été redirigé
        0
  9. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    et la je ne suis plus capable d'avoir de multiple bar qui s'ouvre quand je clique sur un nouveau lien.

    j'ai pas tout saisi ! .... ^^ soit plus claire stp ...

    fais la suite :

    1-Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

    Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

    Driver::
    Sysino

    NetSvc::
    irc.aol.com


    Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valide ...

    2-Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

    Cette manipulation va relancer combofix .
    --> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    !! Ne touches à rien tant que le scan n'est pas terminé !!

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau pour analyse ...

    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    0
    1. keli
       
      pour les pages webs, quand je navigais je pouvais avoir plusieurs pages ouvert juste en dessous de la bar d'adresse web, et je pouvais naviger d'une a l'autre, comme si javais plusieurs pages webs ouvertes, mais en fait j'en avais une seule.
      Je sais pas si je suis plus clair :S
      0
  10. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    oki ... on réglera cela quand on aura mis FireFox à jour ...

    pour le moment , fait la suite stp ....

    0
    1. keli
       
      OK c'est fait mais je suis vraiment pas sure que ca fonctionner, car il n'y a eu aucun message qui ma demander : Type 1 to continue or 2 to abort
      et le fichier que tu ma demander de faire a disparu

      Mais bon voici le log que ca donner

      ComboFix 09-12-04.02 - Karen Castonguay 05/12/2009 5:12.2.1 - x86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.2.1036.18.1279.826 [GMT -5:00]
      Running from: h:\documents and settings\Karen Castonguay\Bureau\ComboFix.exe
      Command switches used :: h:\documents and settings\Karen Castonguay\Bureau\CFScript.txt
      AV: avast! antivirus 4.8.1368 [VPS 091205-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
      FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
      .

      ((((((((((((((((((((((((( Files Created from 2009-11-05 to 2009-12-05 )))))))))))))))))))))))))))))))
      .

      2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Malwarebytes
      2009-12-05 08:19 . 2009-12-03 21:14 38224 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
      2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\All Users\Application Data\Malwarebytes
      2009-12-05 08:19 . 2009-12-03 21:13 19160 ----a-w- h:\windows\system32\drivers\mbam.sys
      2009-12-05 08:19 . 2009-12-05 08:31 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
      2009-12-05 08:09 . 2009-12-05 08:09 -------- d-----w- h:\windows\system32\LogFiles
      2009-12-05 07:40 . 2009-12-05 08:07 -------- d-----w- H:\Lop SD
      2009-12-05 06:17 . 2009-09-23 12:55 64288 ----a-w- h:\windows\system32\drivers\Lbd.sys
      2009-12-05 06:14 . 2009-12-05 06:15 -------- dc-h--w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
      2009-12-05 06:14 . 2009-10-03 08:15 2924848 -c--a-w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
      2009-11-26 00:13 . 2009-11-26 00:13 152576 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
      2009-11-26 00:13 . 2009-11-26 00:13 79488 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-12-05 10:19 . 2008-07-11 23:00 43730976 --sha-w- h:\windows\system32\drivers\fidbox.dat
      2009-12-05 08:32 . 2008-07-11 23:00 512456 --sha-w- h:\windows\system32\drivers\fidbox.idx
      2009-12-05 06:14 . 2008-02-13 10:28 -------- d-----w- h:\documents and settings\All Users\Application Data\Lavasoft
      2009-12-05 06:14 . 2004-09-27 01:44 -------- d-----w- h:\program files\Lavasoft
      2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\program files\Spybot - Search & Destroy
      2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2009-12-04 05:28 . 2004-11-30 04:06 -------- d--h--w- h:\program files\InstallShield Installation Information
      2009-12-04 00:49 . 2007-01-31 09:54 -------- d-----w- h:\program files\IrfanView
      2009-11-29 04:54 . 2005-02-25 05:20 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Ventrilo
      2009-11-29 04:20 . 2001-08-28 08:00 74172 ----a-w- h:\windows\system32\perfc00C.dat
      2009-11-29 04:20 . 2001-08-28 08:00 465264 ----a-w- h:\windows\system32\perfh00C.dat
      2009-11-26 00:14 . 2004-09-27 08:09 -------- d-----w- h:\program files\Java
      2009-11-24 23:54 . 2006-12-09 11:28 1280480 ----a-w- h:\windows\system32\aswBoot.exe
      2009-11-24 23:51 . 2006-12-09 11:28 93424 ----a-w- h:\windows\system32\drivers\aswmon.sys
      2009-11-24 23:50 . 2006-12-09 11:28 94160 ----a-w- h:\windows\system32\drivers\aswmon2.sys
      2009-11-24 23:50 . 2008-04-05 06:44 114768 ----a-w- h:\windows\system32\drivers\aswSP.sys
      2009-11-24 23:50 . 2008-04-05 06:44 20560 ----a-w- h:\windows\system32\drivers\aswFsBlk.sys
      2009-11-24 23:49 . 2006-12-09 11:28 48560 ----a-w- h:\windows\system32\drivers\aswTdi.sys
      2009-11-24 23:48 . 2006-12-09 11:28 23120 ----a-w- h:\windows\system32\drivers\aswRdr.sys
      2009-11-24 23:47 . 2006-12-09 11:28 27408 ----a-w- h:\windows\system32\drivers\aavmker4.sys
      2009-11-24 23:47 . 2006-12-09 11:28 97480 ----a-w- h:\windows\system32\AVASTSS.scr
      2009-11-13 22:00 . 2009-03-02 22:27 11520245 ----a-w- h:\windows\Internet Logs\tvDebug.zip
      2009-10-11 09:17 . 2008-11-28 03:02 411368 ----a-w- h:\windows\system32\deploytk.dll
      .

      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "msnmsgr"="h:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
      "swg"="h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-20 68856]
      "Rainlendar2"="h:\program files\Rainlendar2\Rainlendar2.exe" [2007-07-24 1298432]
      "DWQueuedReporting"="h:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avast!"="h:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
      "QuickTime Task"="h:\program files\QuickTime\qttask.exe" [2005-12-05 155648]
      "Adobe Reader Speed Launcher"="h:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
      "DT LGE"="h:\program files\Portrait Displays\forteManager\DTHtml.exe" [2007-06-12 291328]
      "ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
      "SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=h:\windows\system32\MsgPlusLoader.dll

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
      @="Service"

      [HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.exe.lnk]
      path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk
      backup=h:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "h:\\Program Files\\Java\\j2re1.4.2_05\\bin\\javaw.exe"=
      "h:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
      "h:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
      "c:\\Stronghold2.exe"=
      "h:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
      "h:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
      "h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
      "h:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\EQ\\EQVoiceService.exe"=

      R0 d347bus;d347bus;h:\windows\system32\drivers\d347bus.sys [14/05/2005 9:53 PM 155136]
      R0 d347prt;d347prt;h:\windows\system32\drivers\d347prt.sys [14/05/2005 9:53 PM 5248]
      R0 Lbd;Lbd;h:\windows\system32\drivers\Lbd.sys [05/12/2009 1:17 AM 64288]
      R1 aswSP;avast! Self Protection;h:\windows\system32\drivers\aswSP.sys [05/04/2008 1:44 AM 114768]
      R1 kbfilter;Keyboard Filter Driver;h:\windows\system32\drivers\kbfilter.sys [17/12/2005 9:43 PM 12544]
      R2 aswFsBlk;aswFsBlk;h:\windows\system32\drivers\aswFsBlk.sys [05/04/2008 1:44 AM 20560]
      R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [02/05/2009 5:56 PM 55152]
      S2 IcRecUsb;IC Recorder Driver;h:\windows\system32\drivers\IcRecUsb.sys [29/11/2004 11:04 PM 17432]
      S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;h:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 6:17 AM 1184912]
      S3 fsssvc;Windows Live Contrôle parental;h:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 5:08 PM 533360]
      S4 irc.aol.com;Sysino;"h:\windows\System32\lsess.exe" -netsvcs --> h:\windows\System32\lsess.exe [?]
      .
      Contents of the 'Scheduled Tasks' folder

      2009-12-05 h:\windows\Tasks\Ad-Aware Update (Weekly).job
      - h:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 06:16]
      .
      .
      ------- Supplementary Scan -------
      .
      mStart Page = hxxp://www.yahoo.com/
      mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
      uInternet Connection Wizard,ShellNext = iexplore
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      IE: Download all with Free Download Manager - file://h:\program files\Free Download Manager\dlall.htm
      IE: Download selected with Free Download Manager - file://h:\program files\Free Download Manager\dlselected.htm
      IE: Download web site with Free Download Manager - file://h:\program files\Free Download Manager\dlpage.htm
      IE: Download with Free Download Manager - file://h:\program files\Free Download Manager\dllink.htm
      IE: E&xporter vers Microsoft Excel - i:\groupe~1\OFFICE11\EXCEL.EXE/3000
      FF - ProfilePath - h:\documents and settings\Karen Castonguay\Application Data\Mozilla\Firefox\Profiles\hdatpnr2.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
      FF - prefs.js: browser.search.selectedEngine - Live Search
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca/
      FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
      FF - plugin: h:\program files\Microsoft\Office Live\npOLW.dll
      FF - plugin: h:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
      FF - plugin: h:\program files\Windows Live\Photo Gallery\NPWLPG.dll
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-12-05 05:19
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x894953C8]<<
      kernel: MBR read successfully
      detected MBR rootkit hooks:
      \Driver\Disk -> CLASSPNP.SYS @ 0xf764bfc3
      \Driver\ACPI -> ACPI.sys @ 0xf74e7cb8
      \Driver\atapi -> 0x894953c8
      IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
      ParseProcedure -> ntoskrnl.exe @ 0x8057016c
      \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
      ParseProcedure -> ntoskrnl.exe @ 0x8057016c
      Warning: possible MBR rootkit infection !
      user & kernel MBR OK

      **************************************************************************
      .
      --------------------- DLLs Loaded Under Running Processes ---------------------

      - - - - - - - > 'winlogon.exe'(440)
      h:\windows\system32\MsgPlusLoader.dll
      h:\windows\system32\Ati2evxx.dll

      - - - - - - - > 'lsass.exe'(496)
      h:\windows\system32\MsgPlusLoader.dll
      .
      Completion time: 2009-12-05 05:22
      ComboFix-quarantined-files.txt 2009-12-05 10:22
      ComboFix2.txt 2009-12-05 09:44

      Pre-Run: 5,479,567,360 octets libres
      Post-Run: 5,467,447,296 octets libres

      - - End Of File - - 9C40F9B80B24D81BC76CDE9DCAA806CD
      0
      1. keli > keli
         
        Je dois quitter pour aller travailler, donc est ce que c'est possible d'arreter ici et continuer a mon retour ?
        0
  11. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    Je dois quitter pour aller travailler, donc est ce que c'est possible d'arreter ici et continuer a mon retour ?

    aucun prb .... ;)

    On va recommencer la manipe car il y a eu un prb avec le script ...

    la suite donc :

    1-Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

    Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

    File::
    h:\windows\System32\lsess.exe

    Driver::
    irc.aol.com


    Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valide ...

    2-Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

    Cette manipulation va relancer combofix .

    > patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    !! Ne touches à rien tant que le scan n'est pas terminé !!

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ...

    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    0
    1. keli
       
      Bon je suis de retour du travail, et je viens d'essayer le nouveau fichier texte que tu as inscrit mais sa marche toujours pas, sa me demande si je veux executer combofix et il start comme la premiere fois que je l'ai démarrer comme un scan normal. Que dois je faire?
      0
      1. keli > keli
         
        Il y a t'il quelqu'un qui peut m'aider a terminer ce cleanage ? s'il vous plait ?
        0
  12. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    Que dois je faire?

    poste moi le rapport que tu obtiens .... merci ....

    0
    1. keli
       
      wow je suis contente de te voir :)

      voici le log

      ComboFix 09-12-04.02 - Karen Castonguay 05/12/2009 18:57.3.1 - x86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.2.1036.18.1279.818 [GMT -5:00]
      Running from: h:\documents and settings\Karen Castonguay\Bureau\ComboFix.exe
      Command switches used :: h:\documents and settings\Karen Castonguay\Bureau\CFScript.txt
      AV: avast! antivirus 4.8.1368 [VPS 091205-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
      FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

      FILE ::
      "h:\windows\System32\lsess.exe"
      .

      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      .
      ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Service_irc.aol.com


      ((((((((((((((((((((((((( Files Created from 2009-11-06 to 2009-12-06 )))))))))))))))))))))))))))))))
      .

      2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Malwarebytes
      2009-12-05 08:19 . 2009-12-03 21:14 38224 ----a-w- h:\windows\system32\drivers\mbamswissarmy.sys
      2009-12-05 08:19 . 2009-12-05 08:19 -------- d-----w- h:\documents and settings\All Users\Application Data\Malwarebytes
      2009-12-05 08:19 . 2009-12-03 21:13 19160 ----a-w- h:\windows\system32\drivers\mbam.sys
      2009-12-05 08:19 . 2009-12-05 08:31 -------- d-----w- h:\program files\Malwarebytes' Anti-Malware
      2009-12-05 08:09 . 2009-12-05 08:09 -------- d-----w- h:\windows\system32\LogFiles
      2009-12-05 07:40 . 2009-12-05 08:07 -------- d-----w- H:\Lop SD
      2009-12-05 06:17 . 2009-09-23 12:55 64288 ----a-w- h:\windows\system32\drivers\Lbd.sys
      2009-12-05 06:14 . 2009-12-05 06:15 -------- dc-h--w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
      2009-12-05 06:14 . 2009-10-03 08:15 2924848 -c--a-w- h:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe
      2009-11-26 00:13 . 2009-11-26 00:13 152576 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
      2009-11-26 00:13 . 2009-11-26 00:13 79488 ----a-w- h:\documents and settings\Karen Castonguay\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-12-06 00:10 . 2008-07-11 23:00 44156960 --sha-w- h:\windows\system32\drivers\fidbox.dat
      2009-12-06 00:06 . 2008-07-11 23:00 521528 --sha-w- h:\windows\system32\drivers\fidbox.idx
      2009-12-05 06:14 . 2008-02-13 10:28 -------- d-----w- h:\documents and settings\All Users\Application Data\Lavasoft
      2009-12-05 06:14 . 2004-09-27 01:44 -------- d-----w- h:\program files\Lavasoft
      2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\program files\Spybot - Search & Destroy
      2009-12-05 05:44 . 2004-10-02 02:55 -------- d-----w- h:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
      2009-12-04 05:28 . 2004-11-30 04:06 -------- d--h--w- h:\program files\InstallShield Installation Information
      2009-12-04 00:49 . 2007-01-31 09:54 -------- d-----w- h:\program files\IrfanView
      2009-11-29 04:54 . 2005-02-25 05:20 -------- d-----w- h:\documents and settings\Karen Castonguay\Application Data\Ventrilo
      2009-11-29 04:20 . 2001-08-28 08:00 74172 ----a-w- h:\windows\system32\perfc00C.dat
      2009-11-29 04:20 . 2001-08-28 08:00 465264 ----a-w- h:\windows\system32\perfh00C.dat
      2009-11-26 00:14 . 2004-09-27 08:09 -------- d-----w- h:\program files\Java
      2009-11-24 23:54 . 2006-12-09 11:28 1280480 ----a-w- h:\windows\system32\aswBoot.exe
      2009-11-24 23:51 . 2006-12-09 11:28 93424 ----a-w- h:\windows\system32\drivers\aswmon.sys
      2009-11-24 23:50 . 2006-12-09 11:28 94160 ----a-w- h:\windows\system32\drivers\aswmon2.sys
      2009-11-24 23:50 . 2008-04-05 06:44 114768 ----a-w- h:\windows\system32\drivers\aswSP.sys
      2009-11-24 23:50 . 2008-04-05 06:44 20560 ----a-w- h:\windows\system32\drivers\aswFsBlk.sys
      2009-11-24 23:49 . 2006-12-09 11:28 48560 ----a-w- h:\windows\system32\drivers\aswTdi.sys
      2009-11-24 23:48 . 2006-12-09 11:28 23120 ----a-w- h:\windows\system32\drivers\aswRdr.sys
      2009-11-24 23:47 . 2006-12-09 11:28 27408 ----a-w- h:\windows\system32\drivers\aavmker4.sys
      2009-11-24 23:47 . 2006-12-09 11:28 97480 ----a-w- h:\windows\system32\AVASTSS.scr
      2009-11-13 22:00 . 2009-03-02 22:27 11520245 ----a-w- h:\windows\Internet Logs\tvDebug.zip
      2009-10-11 09:17 . 2008-11-28 03:02 411368 ----a-w- h:\windows\system32\deploytk.dll
      .

      ((((((((((((((((((((((((((((( SnapShot@2009-12-05_09.40.58 )))))))))))))))))))))))))))))))))))))))))
      .
      + 2009-12-06 00:07 . 2009-12-06 00:07 16384 h:\windows\Temp\Perflib_Perfdata_4d4.dat
      + 2009-12-06 00:07 . 2009-12-06 00:07 16384 h:\windows\Temp\Perflib_Perfdata_2c4.dat
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "msnmsgr"="h:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]
      "swg"="h:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-20 68856]
      "Rainlendar2"="h:\program files\Rainlendar2\Rainlendar2.exe" [2007-07-24 1298432]
      "DWQueuedReporting"="h:\progra~1\FICHIE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "avast!"="h:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
      "QuickTime Task"="h:\program files\QuickTime\qttask.exe" [2005-12-05 155648]
      "Adobe Reader Speed Launcher"="h:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
      "DT LGE"="h:\program files\Portrait Displays\forteManager\DTHtml.exe" [2007-06-12 291328]
      "ZoneAlarm Client"="h:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-12-13 919016]
      "SunJavaUpdateSched"="h:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="h:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=h:\windows\system32\MsgPlusLoader.dll

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
      @="Service"

      [HKLM\~\startupfolder\H:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.exe.lnk]
      path=h:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.exe.lnk
      backup=h:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "h:\\Program Files\\Java\\j2re1.4.2_05\\bin\\javaw.exe"=
      "h:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\helpctr.exe"=
      "h:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
      "c:\\Stronghold2.exe"=
      "h:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
      "h:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
      "h:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
      "h:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\EQ\\EQVoiceService.exe"=

      R0 d347bus;d347bus;h:\windows\system32\drivers\d347bus.sys [14/05/2005 9:53 PM 155136]
      R0 d347prt;d347prt;h:\windows\system32\drivers\d347prt.sys [14/05/2005 9:53 PM 5248]
      R0 Lbd;Lbd;h:\windows\system32\drivers\Lbd.sys [05/12/2009 1:17 AM 64288]
      R1 aswSP;avast! Self Protection;h:\windows\system32\drivers\aswSP.sys [05/04/2008 1:44 AM 114768]
      R1 kbfilter;Keyboard Filter Driver;h:\windows\system32\drivers\kbfilter.sys [17/12/2005 9:43 PM 12544]
      R2 aswFsBlk;aswFsBlk;h:\windows\system32\drivers\aswFsBlk.sys [05/04/2008 1:44 AM 20560]
      R2 fssfltr;FssFltr;h:\windows\system32\drivers\fssfltr_tdi.sys [02/05/2009 5:56 PM 55152]
      R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;h:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 6:17 AM 1184912]
      S2 IcRecUsb;IC Recorder Driver;h:\windows\system32\drivers\IcRecUsb.sys [29/11/2004 11:04 PM 17432]
      S3 fsssvc;Windows Live Contrôle parental;h:\program files\Windows Live\Family Safety\fsssvc.exe [06/02/2009 5:08 PM 533360]
      .
      Contents of the 'Scheduled Tasks' folder

      2009-12-06 h:\windows\Tasks\Ad-Aware Update (Weekly).job
      - h:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 06:16]
      .
      .
      ------- Supplementary Scan -------
      .
      mStart Page = hxxp://www.yahoo.com/
      mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*http://www.yahoo.com/ext/search/search.html
      uInternet Connection Wizard,ShellNext = iexplore
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      IE: Download all with Free Download Manager - file://h:\program files\Free Download Manager\dlall.htm
      IE: Download selected with Free Download Manager - file://h:\program files\Free Download Manager\dlselected.htm
      IE: Download web site with Free Download Manager - file://h:\program files\Free Download Manager\dlpage.htm
      IE: Download with Free Download Manager - file://h:\program files\Free Download Manager\dllink.htm
      IE: E&xporter vers Microsoft Excel - i:\groupe~1\OFFICE11\EXCEL.EXE/3000
      FF - ProfilePath - h:\documents and settings\Karen Castonguay\Application Data\Mozilla\Firefox\Profiles\hdatpnr2.default\
      FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
      FF - prefs.js: browser.search.selectedEngine - Live Search
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.ca/
      FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
      FF - plugin: h:\program files\Microsoft\Office Live\npOLW.dll
      FF - plugin: h:\program files\Mozilla Firefox\plugins\npzylomgamesplayer.dll
      FF - plugin: h:\program files\Windows Live\Photo Gallery\NPWLPG.dll
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-12-05 19:08
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x894D0DC8]<<
      kernel: MBR read successfully
      detected MBR rootkit hooks:
      \Driver\Disk -> CLASSPNP.SYS @ 0xf763bfc3
      \Driver\ACPI -> ACPI.sys @ 0xf7587cb8
      \Driver\atapi -> 0x894d0dc8
      IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
      ParseProcedure -> ntoskrnl.exe @ 0x8057016c
      \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x8059c876
      ParseProcedure -> ntoskrnl.exe @ 0x8057016c
      Warning: possible MBR rootkit infection !
      user & kernel MBR OK

      **************************************************************************
      .
      --------------------- DLLs Loaded Under Running Processes ---------------------

      - - - - - - - > 'winlogon.exe'(440)
      h:\windows\system32\Ati2evxx.dll
      .
      ------------------------ Other Running Processes ------------------------
      .
      h:\windows\system32\Ati2evxx.exe
      h:\windows\system32\Ati2evxx.exe
      h:\program files\Alwil Software\Avast4\aswUpdSv.exe
      h:\program files\Alwil Software\Avast4\ashServ.exe
      h:\program files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
      h:\program files\Java\jre6\bin\jqs.exe
      h:\program files\Fichiers communs\Portrait Displays\Shared\HookManager.exe
      h:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
      h:\windows\system32\devldr32.exe
      h:\windows\system32\wdfmgr.exe
      h:\progra~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
      h:\program files\Alwil Software\Avast4\ashMaiSv.exe
      h:\windows\System32\wbem\unsecapp.exe
      h:\program files\Alwil Software\Avast4\ashWebSv.exe
      h:\windows\System32\wbem\wmiapsrv.exe
      h:\program files\Lavasoft\Ad-Aware\AAWTray.exe
      .
      **************************************************************************
      .
      Completion time: 2009-12-05 19:16 - machine was rebooted
      ComboFix-quarantined-files.txt 2009-12-06 00:16
      ComboFix2.txt 2009-12-05 10:22
      ComboFix3.txt 2009-12-05 09:44

      Pre-Run: 5,427,490,816 octets libres
      Post-Run: 5,297,770,496 octets libres

      - - End Of File - - A844F99CBA815E88EACFF26289DFFDB5
      0
  13. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    Wow je suis contente de te voir :)

    > sache que je n'ai encore jamais laissé tombé quelqu'un en cours de désinfection ... Si je ne répond pas de suite , c'est que j'ai une vie privé aussi ! ...

    bref, on avance ... dis moi commnet va le PC , du mieux ?

    puis fais ceci dans l'ordre :

    1- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
    http://www.genproc.com/GenProc.exe

    !! ferme tes applications en cours !!

    * double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

    * A la question "faites vous aidez sur un forum..." > clique sur " oui " .

    -> poste le contenu du rapport qui s'ouvre ...

    Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

    IMPORTANT : poste le rapport uniquement ! Ne suis pas les éventuelles consignes qu'il mentionne pour le moment ...

    =========================

    2- Télécharge Ad-remover ( de C_XX ) sur ton bureau :

    ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
    ou ici https://www.androidworld.fr/

    ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis l'option "S" et tape sur [entrée] .

    • le scan démarre , laisse travailler l'outil et ne touche à rien ...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

    --> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus :
    (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/tuto_ad_r1.html
    Aides en images (Recherche) : http://pagesperso-orange.fr/NosTools/tuto_ad_r2.html

    0
    1. keli
       
      Salut je voulais m'excuser je n'es pas dit que j'étais contente de te voir car je pensais que tu m'avais laisser tomber et je sais très bien que vous faites ce travail bénévolement et j'en suis très reconnaissante. Donc si je t'ai blesser j'en suis désoler

      Voici les 2 analyses que tu m'as demander de faire, et oui mon ordi commence a prendre du mieux et moi aussi par la même occassion :)

      Rapport GenProc 2.657 [1] - 06/12/2009 à 18:19:51
      @ Windows XP Service Pack 2 - Mode normal
      @ Mozilla Firefox 3.0.15 (fr) [Navigateur par défaut]

      ~~ ECHEC DU TELECHARGEMENT DE CM ~~
      ~~ ECHEC DU TELECHARGEMENT DE MBR.EXE ~~
      ~~ ECHEC DU TELECHARGEMENT D'HIJACKTHIS ~~
      ~~ ECHEC DU TELECHARGEMENT DE ZHP ~~

      GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


      Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
      - coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
      C:\Program Files\EsetOnlineScanner\log.txt



      ----------------------------------------------------------------------
      Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
      ----------------------------------------------------------------------

      ~~ Fin à 18:21:57 ~~


      .
      ======= LOGFILE OF AD-REMOVER 1.1.4.6_E | ONLY XP/VISTA/7 =======
      .
      Updated by C_XX on 06.12.2009 at 17:18
      Contact: AdRemover.contact@gmail.com
      Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
      .
      Launch at: 18:23:42, 06/12/2009 | Normal Boot | Option: SCAN
      Executed from: H:\Program Files\Ad-Remover\
      Operating system: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
      Computer Name: KAREN | Current user: Karen Castonguay
      .
      ============== FOUND ELEMENT(S) ==============
      .

      .
      HKLM\software\Trymedia Systems
      .
      ============== Added scan ==============
      .
      .
      * Mozilla FireFox Version 3.0.15 [fr] *
      .
      ProfilePath: hdatpnr2.default (Karen Castonguay)
      .
      (KARENC~1, prefs.js) Browser.download.lastDir, H:\Documents and Settings\Karen Castonguay\Bureau\msn plus
      (KARENC~1, prefs.js) Browser.search.defaultenginename, Live Search
      (KARENC~1, prefs.js) Browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
      (KARENC~1, prefs.js) Browser.search.selectedEngine, Live Search
      (KARENC~1, prefs.js) Browser.startup.homepage, hxxp://www.google.ca/
      .
      .
      * Internet Explorer Version 6.0.2900.2180 *
      .
      [HKEY_CURRENT_USER\..\Internet Explorer\Main]
      .
      Do404Search: 01000000
      Show_ToolBar: yes
      Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Use Search Asst:
      Use Custom Search URL: 1 (0x1)
      Enable Browser Extensions: yes
      .
      [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
      .
      Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
      Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
      Delete_Temp_Files_On_Exit: yes
      Local Page: %SystemRoot%\system32\blank.htm
      Start Page: hxxp://www.yahoo.com/
      Search Bar: hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/msgr8/*hxxp://www.yahoo.com/ext/search/search.html
      .
      [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
      .
      Error: Value: "Tabs" does not exist!
      .
      ============== Suspect (Cracks, Serials, ...) ==============
      .
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\Keygen.exe
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\keygen.nfo
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\NBR6603FRA.exe
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\nero6603.exe
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\orion.nfo
      H:\Documents and Settings\Karen Castonguay\Mes documents\Stronghold 2\patch.exe
      .
      ===================================
      .
      2914 Byte(s) - H:\Ad-Report-SCAN[1].log
      .
      1 File(s) - H:\DOCUME~1\KARENC~1\LOCALS~1\Temp
      3 File(s) - H:\WINDOWS\Temp
      .
      2 File(s) - H:\Program Files\Ad-Remover\BACKUP
      0 File(s) - H:\Program Files\Ad-Remover\QUARANTINE
      .
      End at: 18:32:20 | 06/12/2009 - SCAN[1]
      .
      ============== E.O.F ==============
      .
      0
  14. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Hello,

    Donc si je t'ai blesser j'en suis désoler

    pas du tout ... ;)

    la suite :

    1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !

    • Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .

    • Au menu principal choisis cette fois l'option "L" et tape sur [entrée] .

    • Le nettoyage débute > Laisse travailler l'outil et ne touche à rien !...

    /!\ l'outil donne l'impression qu'il a planté et qu'il ne se passe rien , mais ce n'est pas le cas ! ( le scan est très discret et assez long , donc patience ... )

    --> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ===================

    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
    1. keli
       
      Salut :)
      Voici les rapports, on ai rendu a quel stade de la désinfection ? (environ)

      .
      ======= LOGFILE OF AD-REMOVER 1.1.4.6_E | ONLY XP/VISTA/7 =======
      .
      Updated by C_XX on 06.12.2009 at 17:18
      Contact: AdRemover.contact@gmail.com
      Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
      .
      Launch at: 12:03:25, 07/12/2009 | Normal Boot | Option: CLEAN
      Executed from: H:\Program Files\Ad-Remover\
      Operating system: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
      Computer Name: KAREN | Current user: Karen Castonguay
      .
      ============== NEUTRALIZED ELEMENT(S) ==============
      .


      (!) -- Temp files deleted.

      .
      HKLM\software\Trymedia Systems
      .
      ============== Added scan ==============
      .
      .
      * Mozilla FireFox Version 3.0.15 [fr] *
      .
      ProfilePath: hdatpnr2.default (Karen Castonguay)
      .
      (KARENC~1, prefs.js) Browser.download.lastDir, H:\Documents and Settings\Karen Castonguay\Bureau\msn plus
      (KARENC~1, prefs.js) Browser.search.defaultenginename, Live Search
      (KARENC~1, prefs.js) Browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
      (KARENC~1, prefs.js) Browser.search.selectedEngine, Live Search
      (KARENC~1, prefs.js) Browser.startup.homepage, hxxp://www.google.ca/
      .
      .
      * Internet Explorer Version 6.0.2900.2180 *
      .
      [HKEY_CURRENT_USER\..\Internet Explorer\Main]
      .
      Do404Search: 01000000
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/
      Use Search Asst:
      Use Custom Search URL: 1 (0x1)
      Enable Browser Extensions: yes
      Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      .
      [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
      .
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Local Page: %SystemRoot%\system32\blank.htm
      Start Page: hxxp://fr.msn.com/
      Search Bar: hxxp://search.msn.com/spbasic.htm
      .
      [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
      .
      Tabs: res://ieframe.dll/tabswelcome.htm
      .
      ============== Suspect (Cracks, Serials, ...) ==============
      .
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\Keygen.exe
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\keygen.nfo
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\NBR6603FRA.exe
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\nero6603.exe
      H:\Documents and Settings\Karen Castonguay\Bureau\Raccourcis Bureau non utilis‚s\neroburningromv6.6.0.3ultraeditionkeygenorion\orion.nfo
      H:\Documents and Settings\Karen Castonguay\Mes documents\Stronghold 2\patch.exe
      .
      ===================================
      .
      3064 Byte(s) - H:\Ad-Report-CLEAN[1].log
      3229 Byte(s) - H:\Ad-Report-SCAN[1].log
      .
      0 File(s) - H:\DOCUME~1\KARENC~1\LOCALS~1\Temp
      3 File(s) - H:\WINDOWS\Temp
      .
      19 File(s) - H:\Program Files\Ad-Remover\BACKUP
      0 File(s) - H:\Program Files\Ad-Remover\QUARANTINE
      .
      End at: 12:12:18 | 07/12/2009 - CLEAN[1]
      .
      ============== E.O.F ==============
      .


      Rapport Zhp

      http://www.cijoint.fr/cjlink.php?file=cj200912/cijfUZAqJ1.txt
      0
  15. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    oki ...

    on ai rendu a quel stade de la désinfection ?

    on a bien avancé ... ;)
    encore une petite vérife et on finalise ....

    la suite dans l'ordre :

    ( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )

    1- Utilisation de l'outil ZHPFix :

    > Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert :

    !! ferme tes autres applications en cours !!

    A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

    Là tu décoches la case devant ZHPDiag !

    > Enfin clique en bas sur "Nettoyer" .

    laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

    Copie/colle le contenu de ce rapport pour analyse ...

    B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ).

    Au message de confirmation , clique sur "Ok" .

    Puis ferme ZHPFix ...

    ======================================

    2- Refais un coup de CCleaner ( registre compris ) .

    ======================================

    3- Télécharge et installe le logiciel HijackThis :

    ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
    ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
    ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

    -> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
    A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
    Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
    "C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

    ( ne fais pas de scan pour le moment )

    ======================================

    4- Important :
    Purge de la restauration système
    *Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
    ---> Redémarre ton PC ...

    *Réactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
    --->Redémarre ton PC ...

    ( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).

    ======================================

    5- Fais ce scan en ligne pour vérifier :

    ( ne rien faire d'autre avec le PC durant le scan ! )

    Fais un scan antivirus en ligne, avec INTERNET EXPLORER et accepter l'ActiveX :

    https://www.bitdefender.fr/

    * Aide :
    - En bas, dans l'encadré "Analyse en ligne gratuite" , clique sur "analyser" .
    - Dans la nouvelle fenêtre, clique sur "j’accepte" .
    > il te sera proposer d'installer un module complémentaire (contrôle ActiveX) pour pouvoir faire le scan > accepte !
    - Puis patiente le temps du chargement .
    - La fenêtre change encore, clique sur "démarrer l'analyse" .
    - Les signatures se chargent, etc ... et le scan démarre ...

    Laisse travailler sans utiliser le PC .

    * pour le rapport : clique sur l'onglet "plus de détailles" . A la fin du scan, clique sur " problème détectés " .
    -> juste au dessus à droite de la fenêtre des résultats , tu as " cliquer ici pour exporter le rapport " .
    -> Clique dessus donc, et choisis d'enregistrer le rapport sur ton bureau .

    --> Ouvre le document html que tu viens de sauvegarder ( le rapport ),
    fais un copier/coller de tout son contenu et poste le dans ta prochaine réponse ...

    Rappel : le scan en ligne ne fonctionne que sous Internet Exploreur ! ( et pas sur FireFox ou autres navigateurs )

    Tutoriel en images ici :
    http://perso.orange.fr/rginformatique/section%20virus/defender.htm (merci à Balltrap34 pour cette réalisation)
    Et ici : https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender

    0
    1. keli
       
      Voici le zhpfix les autres analyses vont suivre dans quelques minutes

      ZHPFix v1.12.22 by Nicolas Coolman - Rapport de suppression du 07/12/2009 12:45:06 PM
      Fichier d'export Registre :
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      (Néant)

      Valeur du Registre :
      (Néant)

      Elément de données du Registre :
      (Néant)

      Dossier :
      H:\Qoobox => Supprimé et mis en quarantaine
      H:\Genproc => Supprimé et mis en quarantaine
      H:\Lop SD => Supprimé et mis en quarantaine

      Fichier :
      h:\documents and settings\karen castonguay\bureau\ad-r.exe => Supprimé et mis en quarantaine
      h:\combofix.txt => Supprimé et mis en quarantaine
      h:\documents and settings\karen castonguay\bureau\rapport - genproc[1].url => Supprimé et mis en quarantaine
      h:\documents and settings\karen castonguay\bureau\raccourci - genproc.lnk => Supprimé et mis en quarantaine
      h:\lopr.txt => Supprimé et mis en quarantaine

      Logiciel :
      O63 - Logiciel: HijackThis 2.0.2 => Logiciel supprimé avec succès
      O63 - Logiciel: AD-Remover => Logiciel supprimé avec succès
      O63 - Logiciel: ComboFix => Logiciel supprimé avec succès
      O63 - Logiciel: GenProc => Logiciel supprimé avec succès
      O63 - Logiciel: Lop SD => Logiciel supprimé avec succès

      Script Registre :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 0
      Valeur du Registre : 0
      Elément de données du Registre : 0
      Dossier : 3
      Fichier : 5
      Logiciel : 5
      Autre : 0


      End of the scan


      Je suis rendu a télécharger hijackthis
      0
      1. keli > keli
         
        Bon j'ai fait toute les étapes jusqu'a bitdefender et la jai eu des problemes je ne pouvais pas voir les icones sur le scan donc jai pas pu faire sortir le rapport. La je dois quitter pour aller travailler. Il y avait des fichiers encore infecter je crois donc aussitot que je reviens de travailler a minuit (heure du canada) je vais refaire le bitdefender a moins que tu me dises de ne pas le faire.

        J'aimerais aussi que tu m'explique un peu ce que nous avons fait et ce qui ma infecter sur mon ordi. J'ai vraiment fait tout ce que tu ma dit mais je suis pas sure d'avoir suivi sur toute les étapes :) Merci d'avance
        0
  16. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    donc jai pas pu faire sortir le rapport

    > tu n'aurais pas un fichier nommé Bitdefender.html sur ton bureau par hzard ? ( c'est la page xeb de ton rapport ) ?

    Il y avait des fichiers encore infecter je crois donc aussitot que je reviens de travailler a minuit (heure du canada) je vais refaire le bitdefender a moins que tu me dises de ne pas le faire.

    > As tu bien purgé la restauration systeme avant comme demandé ? ...

    refais le scan et poste le rapport obtenu si possible ...
    0
    1. keli
       
      Salut bon je viens d'essayer de refaire le scan, je n'arrive toujours pas a avoir un rapport car je ne peux pas cliquer sur le lien qui est supposer etre la pour faire le rapport puisque que je ne le voit pas, il y a les boutons mais aucune écriture dessus et je ne peux pas copier coller. C'est quoi je dois faire ?
      Et j'ai fait toute les étapes que tu m'as dit de faire meme le restaure.
      0
  17. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    ske69, pourrais tu lui faire faire ceci :

    Télécharge OTL sur ton Bureau.

    Ferme toutes tes fenêtres actives.

    Double clique sur l'icône pour le lancer.

    Copie colle ces instructions dans "Custom Scan" :

    netsvcs
    %SYSTEMDRIVE%\*.exe
    /md5start
    iaStor.sys
    atapi.sys
    /md5stop
    CREATERESTOREPOINT


    Clique sur le bouton "Quick Scan".

    Ne change pas les réglages par défaut, sauf si l'outil te le demande.

    Le scan devrait être rapide.

    A la fin du scan, le bloc-notes s'ouvrira, et les fichiers OTL.Txt et Extras.Txt seront sauvegardés sur ton Bureau.

    Transmet les dans des liens Cijoint.

    (clique sur Cijoint

    Clique sur Parcourir et cherche ton Bureau (en général dans C:\Documents and settings\nom_de_te_session).

    Sélectionne le fichier OTL.Txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    )

    Fais de même pour Extras.txt

    0
  18. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    salut keli, salut Lyonnais92, =)

    keli,

    fais ce que demande Lyonnais92 ici stp ...

    0
    1. keli
       
      Salut a vous deux. Voila les 2 fichiers que vous avez demander. Est ce que c'est possible de m'expliquer un peu ce qui ce passe s'il vous plait car la je suis perdu :)

      OTL.txt

      http://www.cijoint.fr/cjlink.php?file=cj200912/cijn7XoGoj.txt

      Extras.txt

      http://www.cijoint.fr/cjlink.php?file=cj200912/cij8fhixgl.txt

      Merci
      0
  19. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    le scan mbr est clean .... je pense que l'on peut passer à la suite ...

    fais cet autre scan en ligne histoire d'être sûr du coup et on finalisera ensuite :

    Fais un scan en ligne avec " Panda " :

    https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan

    tuto :
    https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368

    poste moi le rapport obtenu pour analyse ...

    0
    1. keli
       
      Bon sa été long mais sa donner des résultats, les voici

      ;***********************************************************************************************************************************************************************************
      ANALYSIS: 2009-12-11 18:20:42
      PROTECTIONS: 1
      MALWARE: 6
      SUSPECTS: 0
      ;***********************************************************************************************************************************************************************************
      PROTECTIONS
      Description Version Active Updated
      ;===================================================================================================================================================================================
      avast! antivirus 4.8.1368 [VPS 091211-0] 4.8.1368 Yes Yes
      ;===================================================================================================================================================================================
      MALWARE
      Id Description Type Active Severity Disinfectable Disinfected Location
      ;===================================================================================================================================================================================
      00029560 spyware/betterinet Spyware No 1 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{36a59337-6eef-40ae-94b1-ed443a0c4740}
      00047863 adware/ieplugin Adware No 0 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{886dde35-e585-11d0-a707-000000521958}
      00122030 adware/fastvideoplayer Adware No 0 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{b5dd9a64-5c4b-4a48-be56-97c1a8f85708}
      00137090 adware/looksmart Adware No 0 Yes No hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{cc8c8f4f-f2e8-404b-a43d-5cc57876a008}
      00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No h:\documents and settings\karen castonguay\cookies\karen castonguay@atdmt[2].txt
      00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No h:\documents and settings\karen castonguay\cookies\karen castonguay@smartadserver[1].txt
      ;===================================================================================================================================================================================
      SUSPECTS
      Sent Location
      ;===================================================================================================================================================================================
      ;===================================================================================================================================================================================
      VULNERABILITIES
      Id Severity Description
      ;===================================================================================================================================================================================
      215048 HIGH MS09-065
      214076 HIGH MS09-059
      971486 HIGH MS09-058
      214074 HIGH MS09-057
      214073 HIGH MS09-056
      214072 HIGH MS09-055
      214071 HIGH MS09-054
      213109 HIGH MS09-046
      212494 HIGH MS09-042
      212493 HIGH MS09-041
      212490 HIGH MS09-038
      212530 HIGH MS09-034
      211784 HIGH MS09-032
      211781 HIGH MS09-029
      210625 HIGH MS09-026
      210624 HIGH MS09-025
      210621 HIGH MS09-022
      210618 HIGH MS09-019
      208380 HIGH MS09-015
      208379 HIGH MS09-014
      208378 HIGH MS09-013
      208377 HIGH MS09-012
      206981 HIGH MS09-007
      206980 HIGH MS09-006
      204670 HIGH MS09-001
      203806 HIGH MS08-078
      203508 HIGH MS08-073
      203505 HIGH MS08-071
      202465 HIGH MS08-068
      201683 HIGH MS08-067
      201258 HIGH MS08-066
      201256 HIGH MS08-064
      201255 HIGH MS08-063
      201253 HIGH MS08-061
      201250 HIGH MS08-058
      209275 HIGH MS08-049
      209273 HIGH MS08-045
      196455 MEDIUM MS08-037
      194862 HIGH MS08-032
      194861 HIGH MS08-031
      194860 HIGH MS08-030
      191618 HIGH MS08-025
      191617 HIGH MS08-024
      191616 HIGH MS08-023
      191614 HIGH MS08-021
      191613 HIGH MS08-020
      187735 HIGH MS08-010
      187733 HIGH MS08-008
      184380 MEDIUM MS08-002
      184379 MEDIUM MS08-001
      182048 HIGH MS07-069
      182046 HIGH MS07-067
      179553 HIGH MS07-061
      176383 HIGH MS07-058
      176382 HIGH MS07-057
      170911 HIGH MS07-050
      170907 HIGH MS07-046
      170906 HIGH MS07-045
      170904 HIGH MS07-043
      164915 HIGH MS07-035
      164913 HIGH MS07-033
      164911 HIGH MS07-031
      160623 HIGH MS07-027
      157262 HIGH MS07-022
      157261 HIGH MS07-021
      157260 HIGH MS07-020
      157259 HIGH MS07-019
      156477 HIGH MS07-017
      150253 HIGH MS07-016
      150249 HIGH MS07-013
      150248 HIGH MS07-012
      150247 HIGH MS07-011
      150243 HIGH MS07-008
      150242 HIGH MS07-007
      150241 MEDIUM MS07-006
      141033 MEDIUM MS06-075
      141030 HIGH MS06-072
      ;===================================================================================================================================================================================

      Merci d'avance pour ta prochaine réponse :)
      0
  20. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    hello,

    encore un peut de nettoyage ...

    fais ceci :

    Télécharge OTM (de Old_Timer) sur ton Bureau.

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    * Double clique sur "OTM.exe" pour ouvrir le prg .

    * Ensuite rends toi sur cette page > https://www.cjoint.com/?mmiU7QNmGO

    * Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
    Paste Instructions for items to be moved.
    (ne touche à rien d'autre !)

    ! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

    -> clique sur MoveIt! pour lancer la suppression.
    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    -->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
    ( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

    0
    1. keli
       
      Salut et voila c'est fait

      All processes killed
      ========== REGISTRY ==========
      Registry key hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{36a59337-6eef-40ae-94b1-ed443a0c4740}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36a59337-6eef-40ae-94b1-ed443a0c4740}\ not found.
      Registry key hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{886dde35-e585-11d0-a707-000000521958}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{886dde35-e585-11d0-a707-000000521958}\ not found.
      Registry key hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{b5dd9a64-5c4b-4a48-be56-97c1a8f85708}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b5dd9a64-5c4b-4a48-be56-97c1a8f85708}\ not found.
      Registry key hkey_current_user\software\microsoft\windows\currentversion\ext\stats\{cc8c8f4f-f2e8-404b-a43d-5cc57876a008}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc8c8f4f-f2e8-404b-a43d-5cc57876a008}\ not found.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: Administrateur
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 67 bytes

      User: All Users

      User: Application Data

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 67 bytes

      User: directx9.0

      User: Karen Castonguay
      ->Temp folder emptied: 81102571 bytes
      ->Temporary Internet Files folder emptied: 4134894 bytes
      ->Java cache emptied: 13689536 bytes
      ->FireFox cache emptied: 112401308 bytes

      User: keli
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 67 bytes

      User: LocalService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 2859591 bytes

      User: NetworkService
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 1100105 bytes
      %systemroot%\System32 .tmp files removed: 0 bytes
      Windows Temp folder emptied: 54969 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
      %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 42866 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 205.44 mb


      OTM by OldTimer - Version 3.1.2.2 log created on 12122009_235118

      Files moved on Reboot...
      H:\WINDOWS\temp\_av_proI.tm~a03368\setup.lok moved successfully.
      File move failed. H:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
      File H:\WINDOWS\temp\Perflib_Perfdata_4d8.dat not found!
      File H:\WINDOWS\temp\ZLT021ee.TMP not found!
      File H:\WINDOWS\temp\ZLT021f2.TMP not found!

      Registry entries deleted on Reboot...
      0
  21. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Hello,

    tu peux recommencer la manipe de OTM avec ce sript stp :

    > https://www.cjoint.com/?mnje6nbPmL

    poste moi le nouveau rapport obtenu ....

    0
    1. keli
       
      Salut
      Il n'y a rien dans le document cijoint
      0
  • 1
  • 2