Navigateur redirigé

Question

Bonjour,
J'ai grandement besoin de votre aide.

Apres avoir fait une réinstallation de Vista pcq l'ordi a été infecté par le rootkit TDSS et qu'il était compliqué de s'en débarraser j'ai commencé a avoir des problemes de redirection de Internet Explorer vers d'autres sites . J'ai donc procédé a la méthode de désinfection comme indiquée sur ce site et voici les log de RSIT et HijackThis.

Logfile of random's system information tool 1.06 (written by random/random)
Run by Manon at 2009-12-05 09:43:06
Microsoft® Windows Vista™ Édition Familiale Premium  
System drive C: has 189 GB (41%) free of 462 GB
Total RAM: 3069 MB (60% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:43:12 AM, on 12/5/2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16916)
Boot mode: Normal

Running processes:
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Google\Google Toolbar\GoogleToolbarUser_32.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\Manon\Desktop\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Manon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-ca
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Program Files\WOT\WOT.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SigmatelSysTrayApp] C:\Program Files\SigmaTel\C-Major Audio\WDM\sttray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Program Files\Google\Quick Search Box\GoogleQuickSearchBox.exe"  /autorun
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab
O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Program Files\WOT\WOT.dll
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Windows\system32\STacSV.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe

totogta4 · Answer

Desoler mais tu peut faire un analyse malwarbys et Toolbar SD (c'est pas une barre)

Pose le rapport en 2 post

Coralion · Answer

Merci,
pour Malwarebyte j'utilise quel examen? Rapide ou complet?

Coralion · Answer

Voici le log Malwarebyte, je ne trouve pas Toolbar SD car mon navigateur se fait hacker....

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3300
Windows 6.0.6000
Internet Explorer 7.0.6000.16916

12/5/2009 10:27:33 AM
mbam-log-2009-12-05 (10-27-33).txt

Type de recherche: Examen rapide
Eléments examinés: 88493
Temps écoulé: 3 minute(s), 5 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

totogta4 · Answer

Bon il faut ABSOLUMENT faire la 2eme recherche http://forums.cnetfrance.fr/tutoriel/toolbar-sd/ToolBarSD.exe

Post le raport

Coralion · Answer

Wow, merci pour le lien!

Coralion · Answer

-----------\  ToolBar S&D 1.2.6   XP/Vista

   Microsoft® Windows Vista™ Édition Familiale Premium  ( v6.0.6000 ) 
   X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 Quad CPU    Q6600  @ 2.40GHz )
   BIOS : Phoenix ROM BIOS PLUS Version 1.10 A07
   USER : Manon ( Administrator )
   BOOT : Normal boot
   Antivirus : avast! antivirus 4.8.1368 [VPS 091205-0] 4.8.1368 (Activated)
   C:\ (Local Disk) - NTFS - Total:450 Go (Free:184 Go)
   D:\ (Local Disk) - NTFS - Total:14 Go (Free:5 Go)
   E:\ (CD or DVD)
   F:\ (USB)
   G:\ (USB)
   H:\ (USB)
   I:\ (USB)

   "C:\ToolBar SD" ( MAJ : 04-12-2008|20:40 )
   Option : [1] ( Sat 12/05/2009|10:39 )

   [ UAC => 1 ]

   -----------\  Recherche de Fichiers / Dossiers ...

   C:\Users\Manon\AppData\Local\Temp
sr3297.tmp
   C:\Users\Manon\AppData\Local\Temp
svC43B.tmp

   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="C:\Windows\system32\blank.htm"
   "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Start Page"="https://www.msn.com/fr-ca"
   "Url"="http://go.microsoft.com/fwlink/?LinkId=75720"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
   "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"
   "Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
   "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
Et voila! le rapport , Merci de ton aide

   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   C:\Users\Manon\Favorites\Sites Loisirs\A Giant Spider That Can Crack a Coconut No, It's a Crab!.url
   C:\Users\Manon\Music\Eminem-Relapse-2009-MS\18-Crack A Bottle (Feat. Dr. Dre & 50 Cent.mp3
   C:\Users\Manon\Music\iTunes\iTunes Music\Eminem\Relapse\18 Crack A Bottle (Feat. Dr. Dre & 5.mp3


   [ UAC => 1 ]


   1 - "C:\ToolBar SD\TB_1.txt" - Sat 12/05/2009|10:42 - Option : [1]

   -----------\  Fin du rapport a 10:42:58.03

totogta4 · Answer

Bon 4 analyse et rien....

Renome les 4musique (crack et keygen)

PUIS SUPRIME..

Telechage CClener puis fait un nettoyage.

PUIS supprime les logicielle que je t'ai donné

PUIS telechage sur le bureau  ZHP

Puis Coupe toute tes application et lance ZHPDialog

Puis clique sur la LOUPE..et post le rapport

Coralion · Answer

Je peux trouver ZHP sur ce site ici?

totogta4 · Answer

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

totogta4 · Answer

?reformulation?

Coralion · Answer

désolée je fais trop de choses en meme temps, je voulais dire que je ne réussis pas a trouver ds mon ordi Toolbar sd pour le supprimer comme tu l'a demandé, que j'ai effectué un nettoyage ccleanup, je n'ai pas renommé les fichiers de musiques qui contenaient le mot crack car ce sont mes fichiers musique pour mon Ipod...merci de ta patience

totogta4 · Answer

?reformulation?

totogta4 · Answer

TROP TARD

Coralion · Answer

moi je veut accepter toute l,aide donc j,ai besoin et j,essaie tout de qui est de mise avec mon probleme

Coralion · Answer

ad remover m'indique que le compte utilisateur est enabled et contacter la personne qui me vient en aide

^^Marie^^ · Answer

Bonsoir

Pour suivre

Coralion · Answer

bien sur je suis l'administrateur et il n.y a qu'un compte (le mien ) je vais faire les étapes que tu as mentionnées, je trouvais ca bizarre aussi

Coralion · Answer

il semblerait que j'ai perdu mes droits d'administrateur car quand je fais clic droit je n,ai plus l,option ouvrir en tant qu'administrateur, mais je vous dit que c'est moi moi qui vais gagner a ce jeu pas les hackers qui me donnent de la misere, merci pour l'aide

Coralion · Answer

j'ai vérifié ds comptes utilisateur et mon compte est indique admin alors j,ai crée un nouveau compte admin au cas ou

Utilisateur anonyme · Answer

Re

Regarde ceci et essaye :https://www.commentcamarche.net/faq/5963-vista-win7-utiliser-l-administrateur-cache-du-systeme
Tiens moi au courant.
@+

Coralion · Answer

le prog ad  remover indique encore ``user account control  is enabled

Coralion · Answer

oui bien sur et me suis loggée avec le nouveau compte admin pour executer ad remove mais pas de chance, meme message que le prog ne peu pas s'executer :9

Coralion · Answer

j'ai executé combofix et le programme a commencé a s'exécuter ensuite j'ai eu un ecran bleu pendant l'opération du programme, j'ai rebooter en mode sans échec et réessayé combofix et l'ordi a redémarrer la je ne sais plus koi faire, j'utilise un autre ordi pour pouvoir communiquer ici... :(((

Coralion · Answer

maintenant j'ai redémarré en mode sans échec et j'exécute malwarebyte full scan pour voir si il détecte quelque chose qu'il ne voyait pas avant, je posterai le log quand il aura terminé sion scan

Coralion · Answer

ca ne fonctionnait pas ni ds mon compte ni ds le nouveau compte admin :(

Coralion · Answer

ok , crois tu que j,ai encore le rootkit que j'avais avant ma réinstallation?

Coralion · Answer

je crois savoir pkoi, quand j'ai réinstallé vista ,il a pris tous mes fichiers ds documents et les as placés ds un fichier nommé windows.old ,peut etre que le rootkit etait encore la, avoir su je n,aurai pas accepter ce transfert, j'espere ne pas avoir a tout réinstallé car c,est long, mais si je dois le faire je vais formater mon disque dur tout a zéro avant une nouvelle installation... on va voir cce que malwarebytes et autres programmes trouvent...

Coralion · Answer

Finalement le log de malwarebyte!

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3300
Windows 6.0.6000 (Safe Mode)
Internet Explorer 7.0.6000.16916

12/5/2009 2:52:40 PM
mbam-log-2009-12-05 (14-52-40).txt

Type de recherche: Examen rapide
Eléments examinés: 95448
Temps écoulé: 5 minute(s), 49 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dkibinasowovone (Trojan.Agent.U) -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\Temp\rnpd.tmp\svchost.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Windows\System32\config\systemprofile\AppData\Local\matabut.dll (Trojan.Agent.U) -> Delete on reboot.

Coralion · Answer

etrange que ce n'est qu'a la 2eme passe de malarebyte qu'il a detecté ces trucs

Coralion · Answer

non, il n'y en a pas car le systeme a planté quand j,ai executé combofix, veut tu que j'essaie en mode sans echec?

Coralion · Answer

en espérant qu'il ne crashe pas encore l'ordi :S

^^Marie^^ · Answer

Re-lu

Peut-être faire passer un ToolCleaner et redémarrer à zéro
Car à la lecture de toute la discussion .....
Mieux vaut repartir à zéro ;)

j'ai dit ça mais j'ai rien dit

Coralion · Answer

Encore ecran bleu
technical information 
stop : oxoooooo7e (oxc0000005, 0x84DB1Dee, 0x8AB54780,ox8AB5447C0
collecting data for crash dump
initializing disk for crash dump
 C'est koi le prob avec combofix?

Coralion · Answer

ouf! j'ai rebooté en mode normal et la je vais faire les étapes une par une..................

Coralion · Answer

La quand je fais quitter ds ToolsCleaner j,ai le message suivant: Impossible de créer le fichier `C:cleaner.txt. Acces refusé

Coralion · Answer

La quand je fais quitter ds ToolsCleaner j,ai le message suivant: Impossible de créer le fichier `C:cleaner.txt. Acces refusé

Coralion · Answer

Mais j'ai trouvé moyen de l'avoir en copiant collant
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\TB.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\asdehi\Combofix.txt: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Manon\AppData\Local\VirtualStore\Program Files\ZHPDiag: trouvé !
C:\Users\Manon\Desktop\HijackThis.lnk: trouvé !
C:\Users\Manon\Desktop\TB.txt: trouvé !
C:\Users\Manon\Desktop\Rsit.exe: trouvé !
C:\Users\Manon\Downloads\Ad-R.exe: trouvé !
C:\Users\Manon\Downloads\ToolBarSD.exe: trouvé !
C:\Windows\mbr.exe: trouvé !
C:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Windows.old\Users\Manon\AppData\Local\Application Data\VirtualStore\Program Files\ZHPDiag: trouvé !
C:\Windows.old\Users\Manon\Desktop\ComboFix.exe: trouvé !
C:\Windows.old\Users\Manon\Local Settings\VirtualStore\Program Files\ZHPDiag: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\ZHPDiag\ZHPdiag.exe: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: ERREUR DE SUPPRESSION !!
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: ERREUR DE SUPPRESSION !!
C:\Users\Manon\Desktop\HijackThis.lnk: supprimé !
C:\Users\Manon\Downloads\Ad-R.exe: supprimé !
C:\Users\Manon\Downloads\ToolBarSD.exe: supprimé !
C:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: ERREUR DE SUPPRESSION !!
C:\Windows.old\Users\Manon\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\TB.txt: ERREUR DE SUPPRESSION !!
C:\asdehi\Combofix.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: ERREUR DE SUPPRESSION !!
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Users\Manon\Desktop\TB.txt: supprimé !
C:\Users\Manon\Desktop\Rsit.exe: supprimé !
C:\Windows\mbr.exe: ERREUR DE SUPPRESSION !!
C:\Combofix: supprimé !
C:\Qoobox: supprimé !
C:\Toolbar SD: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Ad-remover: ERREUR DE SUPPRESSION !!
C:\Program Files\ZHPDiag: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: ERREUR DE SUPPRESSION !!
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: ERREUR DE SUPPRESSION !!
C:\Users\Manon\AppData\Local\VirtualStore\Program Files\ZHPDiag: supprimé !
C:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: ERREUR DE SUPPRESSION !!

^^Marie^^ · Answer

OOOOO put'1

Coralion · Answer

Voila le rapport http://www.cijoint.fr/cjlink.php?file=cj200912/cijLb1ynqV.txt

Coralion · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\TB.txt: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Users\Manon\Desktop\ZHPDiag: trouvé !
C:\Users\Manon\Desktop\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Windows\mbr.exe: trouvé !
C:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programmes\HijackThis: trouvé !
C:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis: trouvé !
C:\Windows.old\Users\All Users\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: trouvé !
C:\Windows.old\Users\Manon\Desktop\ComboFix.exe: trouvé !
Rapport Tcleaner
---------------------------------
--> Suppression: 

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis\HijackThis.lnk: supprimé !
C:\Users\Manon\Desktop\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Windows.old\Users\Manon\Desktop\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\TB.txt: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Windows\mbr.exe: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\HijackThis: ERREUR DE SUPPRESSION !!
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HijackThis: supprimé !
C:\Users\Manon\Desktop\ZHPDiag: supprimé !

Coralion · Answer

.
======= LOGFILE OF AD-REMOVER 1.1.4.6_D | ONLY XP/VISTA/7 =======
.
Updated by C_XX on 05.12.2009 at 16:33
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Launch at: 16:19:32, Sat 12/05/2009 | Normal Boot | Option: SCAN
Executed from: C:\Program Files\Ad-Remover\
Operating system: Microsoft® Windows Vista™ Home Premium  v6.0.6000
Computer Name: PC-DE-MANON | Current user: Manon
.
============== FOUND ELEMENT(S) ==============
.

C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE} 
C:\Program Files\Ask.com 
C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar 
C:\Users\Manon\AppData\Local\Temp\AskSearch 
C:\Windows\Prefetch\ASKINSTALLCHECKER.EXE-3E4C148A.pf 
.
HKCU\software\appdatalow\software\AskToolbar
HKCU\software\Ask.com
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\software\classes\appid\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\software\classes\appid\GenericAskToolbar.DLL
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\software\classes\GenericAskToolbar.ToolbarWnd
HKLM\software\classes\GenericAskToolbar.ToolbarWnd.1
HKLM\software\classes\installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\software\microsoft\windows\currentversion\uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
HKU\s-1-5-21-3344323544-1725933534-844501844-1000\software\appdatalow\software\AskToolbar
HKU\s-1-5-21-3344323544-1725933534-844501844-1000\software\Ask.com
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.5.5 [fr] *
.
 ProfilePath: rppoy3an.default (Manon)
.
(Manon, prefs.js) Browser.startup.homepage, hxxp://ca.msn.com/defaultf.aspx
. 
(Manon, prefs.js) FOUND - Weboftrust.search.ask.display, Ask.com Web Search
. 
.
* Internet Explorer Version 7.0.6000.16916 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://ca.msn.com/defaultf.aspx
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\Manon\AppData\Roaming\BitTorrent\VSO ConvertX to DVD v3.0.0.9 + Patch.rar.torrent
C:\Users\Manon\Favorites\Sites Loisirs\A Giant Spider That Can Crack a Coconut No, It's a Crab!.url
C:\Users\Manon\Favorites\Sites Loisirs\The 9 Most Badass Bible Verses - Page 2  Cracked.com.url
.
===================================
.
3296 Byte(s) - C:\Ad-Report-SCAN[1].log 
.
456 File(s) - C:\Users\Manon\AppData\Local\Temp 
29 File(s) - C:\Windows\Temp 
.
2 File(s) - C:\Program Files\Ad-Remover\BACKUP
0 File(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
End at: 16:21:19 | Sat 12/05/2009 - SCAN[1]
.
============== E.O.F ==============
.

Coralion · Answer

Voici le log de Ad_remover 

.
======= LOGFILE OF AD-REMOVER 1.1.4.6_D | ONLY XP/VISTA/7 =======
.
Updated by C_XX on 05.12.2009 at 16:33
Contact: AdRemover.contact@gmail.com
Website: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Launch at:  5:57:14, Sun 12/06/2009 | Normal Boot | Option: CLEAN
Executed from: C:\Program Files\Ad-Remover\
Operating system: Microsoft® Windows Vista™ Home Premium  v6.0.6000
Computer Name: PC-DE-MANON | Current user: Manon
.
============== NEUTRALIZED ELEMENT(S) ==============
.

C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
C:\Program Files\Ask.com
C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar
C:\Users\Manon\AppData\Local\Temp\AskSearch

(!) -- Temp files deleted.
 
.
HKCU\software\appdatalow\software\AskToolbar
HKCU\software\Ask.com
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\software\classes\appid\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
HKLM\software\classes\appid\GenericAskToolbar.DLL
HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\software\classes\GenericAskToolbar.ToolbarWnd
HKLM\software\classes\GenericAskToolbar.ToolbarWnd.1
HKLM\software\classes\installer\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
HKLM\software\microsoft\windows\currentversion\uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
.
============== Added scan ==============
.
.
* Mozilla FireFox Version 3.5.5 [fr] *
.
 ProfilePath: rppoy3an.default (Manon)
.
(Manon, prefs.js) Browser.startup.homepage, hxxp://ca.msn.com/defaultf.aspx
. 
(Manon, prefs.js) ERASED - Weboftrust.search.ask.display, Ask.com Web Search
. 
.
* Internet Explorer Version 7.0.6000.16916 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Users\Manon\Favorites\Sites Loisirs\A Giant Spider That Can Crack a Coconut No, It's a Crab!.url
C:\Users\Manon\Favorites\Sites Loisirs\The 9 Most Badass Bible Verses - Page 2  Cracked.com.url
.
===================================
.
3250 Byte(s) - C:\Ad-Report-CLEAN[1].log 
3617 Byte(s) - C:\Ad-Report-SCAN[1].log 
.
1 File(s) - C:\Users\Manon\AppData\Local\Temp 
1 File(s) - C:\Windows\Temp 
.
22 File(s) - C:\Program Files\Ad-Remover\BACKUP
11 File(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
End at:  5:59:32 | Sun 12/06/2009 - CLEAN[1]
.
============== E.O.F ==============
.

Coralion · Answer

oui j'ai repassé CCleaner et ne semble plus avoir de prob pour le moment, mais je reste sur mes gardes et je surveille le comportement du systeme car j'avais toutes sortes de problemes différents, surtout quand je voulais effectuer des nettoyages auparavent les programmes ne fonctionnaient pas bien comme Combofix qui a fait crasher le systeme 2 fois.

Pourrait tu me conseiller si je devrait changer d'antivirus et quel anti-rootkit je pourrait utiliser?
Et je te remercie infiniment pour toute l,aide que tu m'as apportée!

Je ne doit pas oublier de remettre la fonction admin...

Coralion · Answer

D'accord, plusieurs personnes s'entendent pour dire que Antivir est meilleur que Avast. Je suis tes recommendations et revient poster quand j'aurais accompli toutes ces tâches.

Merci encore! A+

Navigateur redirigé

44 réponses

Votre réponse

Discussions similaires

Newsletters