Problème Antivirus plus google Résolu

Question

Bonjour,
Alors voila j'éxplique mon problème, j'ai windows xp avec avast et récemment j'ai eu le spyware "antivirus plus" bon très chiant mais j'ai réussi a le supprimer avec Malewarbytes qui a très bien fonctionnez, mais le problème c'est que lorsque je vais sur google, la page est en anglais(malgré la suppréssion d'antivirus plus) alors que c'est google.fr et lorsque j'éfféctue une recherche et que je clique sur un résultat il me met sur une page "rapidsearch11" ou d'autre page qui n'ont rien a voir, je ne peut donc plus utiliser internet alors voila j'aimerais bien savoir si quelqu'un avait la solution a mon problème, cela me le fait avec firefox et internet explorer, pourtant si j'entre une adresse url dans la barre elle y accède normalement, Merci de m'aider et bonne journée.

plcudek · Accepted Answer

ba prend un autre navigateur (comme: fast browere search, chercher malin, orange...) et regarde se que sa fait.

fabul · Answer

Malwarebytes n'a pas su l'éradiquer?

Essaie ceci:

Télécharge Regrun Reanimator.

Démarre Réanimator.

Scan for viruses.

Scan windows startup.

Coche la case "Use deep level scanning once".

Clic sur "Make scan now" pour analyser.

Clic sur la flèche verte "Fix problems".

Si il propose d'utiliser l'option Regguard,répond non.

clic-droit sur le premier item trouvé et "Save to file" pour sauvegarder le résultat dans un fichier nommé 1.txt

Clic sur la flèche verte (en haut a droite) pour passer a l'item suivant mais en sauvegardant dans un fichier 2.txt

Ainsi de suite, 3.txt...

Et donne nous le résultat.

T4URUS · Answer

Salut et merci beaucoup pour vos réponses rapide, si en fait malwarebytes l'a éradiquer mais le problème c'est que en plus d'antivirus plus il y avait aussi mon moteur de recherche google qui était devenu anglais (a cause d'antivirus plus) et que lorssque je clique sur un résultat de fenêtre il me met sur un autre site "rapidsearch11" ou autre site de pub, mais je vais quand même essayer ton logiciel et poster le résultat, merci.

T4URUS · Answer

Ah et pculdek, je viens d'essayer avec yahoo et ça me fait la même chose donc ce n'est pas seulement google, un site sur lequel il va souvent en plus de rapisearch est "gorazyn" qui est bloquer par avast, je vais essayer le logiciel de fabul, merci.

T4URUS · Answer

Alors voila Fabul j'ai fait ce que tu m'avais demandé donc il y a eu 4 fichier en tout:
Fichier 1: Item Name: TUKERNEL.EXE
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\TUKERNEL.EXE
Type: Drivers

Fichier 2:Item Name: UIHost
Author: Microsoft Corporation
Related File: C:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler	u_logonui.exe
Type: Winlogon System


Fichier 3:Item Name: a0kvhto9.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\A0KVHTO9.SYS
Type: Drivers


Fichier 4:Item Name: ImageMixer 3 SE Camera Monitor Ver.4.lnk
Author: PIXELA CORPORATION
Related File: C:\Program Files\PIXELA\ImageMixer 3 SE Ver.4\Transfer Utility\CameraMonitor.exe
Type: Common Startup Folder



Voila merci de me dire quoi faire, bonne journée.

fabul · Answer

Quelqu'un sait ce que c'est?


Fichier 3:Item Name: a0kvhto9.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\A0KVHTO9.SYS
Type: Drivers


Signé Microsoft Corporation,mais totalement inconnu sur le net,ce qui est très louche et bizzare.

@T4URUS,peux tu le faire analyser ici:https://www.virustotal.com/gui/

Et nous donner l'adresse une fois analysé.

C'est 99.999% sur que c'est un malware.

T4URUS · Answer

Bon alors la je comprend plus trop, je trouve pas le fichier dans le dossier qui est dit, j'ai même fait une recherche dans tout l'ordinateur et il y est pas, de plus nouveau changement maintenant je peut lancer une recherche mais google est toujours en anglais et j'ai toujours quelque soucis (accent pas affiché, recherche danas la barre google en haut a droite qui marche pas) et pourtant j'ai refait une analyse avec réanimator et il me cite toujours le fichier, c'est bizarre.... D'autres proposition ?
Merci de toutes tes réponses et bonne journée.

T4URUS · Answer

Alors oui j'avaisobulier de le préciser mais j'avais essayer avec les fichier caché afficher, mais par contre je en sais pas ce que tu veux dire par "protégée du système" donc si tu pouvais m'éxpliquer comment faire ce serais sympa, Merci encore de me répondre si rapidement !

fabul · Answer

Si tu a xp,ça doit ètre afficher le contenu des dossiers système https://forums.cnetfrance.fr/tutoriel/cle-usb-bootable/cle-usb-bootable-2.png

Mais il a toutes les caractéristiques d'un malware,la seule chose qui m'étonne,c'est qu'il soit signé Microsoft Corporation,ils ont pris le temps de signer leur malware.

Je me sentirait responsable si je me trompais et si je plantait ton système,mais je ne crois pas me tromper,as tu des sauvegardes de tes données * au cas ou.

T4URUS · Answer

Rien a faire j'ai beau activer les deux options pas de trace de "a0kvhto9" tiens j'ai pris un screen pour te montrer (au cas ou j'oublierais un truc évident ou je sais pas trop quoi"
http://www.noelshack.com/up/aac/prob-8480874d27.bmp

Voila merci encore et si tu as d'autre idée pour le trouver ce serait vraiment cool.
Merci encore.

T4URUS · Answer

Et non je n'en ai pas, enfin j'ai mes cd d'instalation xp mais je n'ai rien d'autre mais de toute façon comment pourrais-je le supprimer si je ne le trouve pas ?

fabul · Answer

Bon,on va procéder autrement

Redémarre le programme,

Clic sur "scan for viruses",

Clic sur scan windows startup,

Coche la case "Use deep level scanning once (For advanced users)",

***** Prends des notes sur papier,tu n'aurra pas accès au bureau a cet instant. *****

Clic sur "Reboot" et confirme que tu veut redémarrer avec "Oui"

Clic sur la flèche verte "Fix problems",

Quand tu verra le nom de l'item: 

Fichier 3:Item Name: a0kvhto9.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\A0KVHTO9.SYS
Type: Drivers

Clic sur "Get it out" , Terminate" et confirme, ou "Get it out"  et confirme,

Pour les autres fichiers, fait des fichiers rapports comme tu a fait plus tot.

Quand la fenètre te proposant l'option "Reboot" apparaitra,clic sur "Reboot" et confirme.

T4URUS · Answer

Bon alors j'ai voulu faire ce que tu ma demandé mais j'ai remarquer 2 chose après avoir fait le 1er redémarage
première chose un nouveau fichier est apparu, il n'y était pas tout a l'heure, pourquoi maitenant je ne sais pas:
Fichier 5: Item Name: tu_logonui.exe
Author: Microsoft Corporation
Related File: C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\TUNEUP SOFTWARE\TUNEUP UTILITIES\WINSTYLER\TU_LOGONUI.EXE
Type: Running Processes



Voila et deuxième chose j'ai voulu faire ce que tu ma demandé mais j'ai remarquer une chose je me suis di que je devrais peut-être te la dire avant de faire l'élimination,  pour le fichier 1:
Fichier 1: Item Name: TUKERNEL.EXE
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\TUKERNEL.EXE
Type: Drivers 
Il me dit dans la ligne "is it serious?" The program is known as malware. Suggest to change and remove it. écrit en rouge, alors que pour tout les autres il me dit "the program is unknown. Probably is legitimate.


Dérnière précision le fichier 5
Fichier 5: Item Name: tu_logonui.exe
Author: Microsoft Corporation
Related File: C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\TUNEUP SOFTWARE\TUNEUP UTILITIES\WINSTYLER\TU_LOGONUI.EXE
Type: Running Processes
N'apparait que lorsque je fait un scan avec démarrage, lorsque je fait un scan directement il n'apparait pas, voila donc je sais pas si je fait comme tu me disait avant ou si ça change ton jugement, Merci.

fabul · Answer

Fichier 3:Item Name: a0kvhto9.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\A0KVHTO9.SYS
Type: Drivers

N'apparait plus?

Et ta navigation,as tu vérifier dans les paramètres Google si tu peux remettre en français?

Je crois que Tune up est démarré au Winlogon a cause de son option pour changer l'écran de démarrage,je me trompe?

T4URUS · Answer

Si si il apparait toujours et oui pour tune up tu as raison, pour google non, pas moyen lorsque je vais dans le menu il reste mais c'était juste pour etre sur étant donné qu'il yen a un qu'il semble plus suspécté pour les autre et que je ne l'avais pas préciser, enfin bref je fait ce que tu ma dit tout a l'heure pour Fichier 3:Item Name: a0kvhto9.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\A0KVHTO9.SYS
Type: Drivers
 donc ?

Merci.

T4URUS · Answer

Ok je vais donc le supprimer, et pour le tukernel je l'ai analyser sur virus total:

 Fichier TUKernel.exe reçu le 2010.01.19 08:42:31 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email: 	
	
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared	4.5.0.50	2010.01.19	-
AhnLab-V3	5.0.0.2	2010.01.19	-
AntiVir	7.9.1.142	2010.01.18	-
Antiy-AVL	2.0.3.7	2010.01.19	-
Authentium	5.2.0.5	2010.01.19	-
Avast	4.8.1351.0	2010.01.18	-
AVG	9.0.0.730	2010.01.18	-
BitDefender	7.2	2010.01.19	-
CAT-QuickHeal	10.00	2010.01.19	-
ClamAV	0.94.1	2010.01.19	-
Comodo	3634	2010.01.19	-
DrWeb	5.0.1.12222	2010.01.19	-
eSafe	7.0.17.0	2010.01.18	-
eTrust-Vet	35.2.7244	2010.01.18	-
F-Prot	4.5.1.85	2010.01.18	-
F-Secure	9.0.15370.0	2010.01.19	-
Fortinet	4.0.14.0	2010.01.19	-
GData	19	2010.01.19	-
Ikarus	T3.1.1.80.0	2010.01.19	-
Jiangmin	13.0.900	2010.01.19	-
K7AntiVirus	7.10.950	2010.01.18	-
Kaspersky	7.0.0.125	2010.01.19	-
McAfee	5865	2010.01.18	-
McAfee+Artemis	5865	2010.01.18	-
McAfee-GW-Edition	6.8.5	2010.01.19	-
Microsoft	1.5302	2010.01.19	-
NOD32	4784	2010.01.18	-
Norman	6.04.03	2010.01.18	-
nProtect	2009.1.8.0	2010.01.18	-
Panda	10.0.2.2	2010.01.18	-
PCTools	7.0.3.5	2010.01.19	-
Prevx	3.0	2010.01.19	-
Rising	22.31.01.04	2010.01.19	-
Sophos	4.49.0	2010.01.19	-
Sunbelt	3.2.1858.2	2010.01.19	-
Symantec	20091.2.0.41	2010.01.19	-
TheHacker	6.5.0.6.156	2010.01.19	-
TrendMicro	9.120.0.1004	2010.01.19	-
VBA32	3.12.12.1	2010.01.19	-
ViRobot	2010.1.19.2144	2010.01.19	-
VirusBuster	5.0.21.0	2010.01.18	-



Voila après en dessous il y a les informations additionelle mais je ne les ai pas mis car c'était vraiment trop long, je vais donc supprimer  A0KVHTO9 je te dit le résultat dès que c'est fait !
Merci.

T4URUS · Answer

Alors la je n'y comprend plus rien, j'ai fait l'analyse avec redémarage et le fameux 
Fichier 3:Item Name: a0kvhto9.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\A0KVHTO9.SYS
Type: Drivers  

n'y était plus, j'ai refait une analyse sans redémarage et il n'y était pas non plus... je ne comprend vraiment pas, par contre on dirait qu'il yen a des nouveaux, toujours le même nombre mais il yen a qui n'y était pas tout a l'heure, c'est étrange, une idée ?
Merci.

T4URUS · Answer

Attend je vais réessayer mais peux tu me dire ou se trouve le bouton false positive stp (histoire que je vois si il est pas cochée).
Merci

T4URUS · Answer

Bon j'ai réessayer et non il n'y est pas, par contre quand il a fait l'analyse et qu'il ne m'as pas encore montrer le résultat il ya deux case en bas a gauche qui sont cochée, faut il que je les décoche ? Et quand tu dit "tu peux toujours faire une analyse sans redémarrage et le choper. en ayant fait une recherche. " Comment je peux faire une recherche ?
Merci.

fabul · Answer

Non, 

Use file safe deleting = le fichier n'est pas supprimé,il est en quarantaine (renommé avec une extension.DEL a la fin)

Et Auto setting system restore aussi ne change pas grand chose a ce sujet.

Le Rootkit se cache bien.

Au pire,tu pourrair désinstaller le programme,supprimer le dossier "Mes Documents/Regrun2" pour faire propre et le réinstaller a neuf si tu n'est pas certain,mais je crois que ce n'est pas une erreur de ta part,il se cache vraiement.

fabul · Answer

Pourrait tu me faire un rapport de ce qui est apparu de nouveau,qu'on soit fixé?

Tu pourrait marquer comme False positive avec la feuille verte tout ce dont on est certain qui ne sont pas nocifs,ensuite,ça sera plus facile.

T4URUS · Answer

Pffff je suis vraiment désolé j'actualiser la page et je n'avais pas vu qu'on en était a la page 2 -_- oui je te post tout de suite les nouveaux rapports pour qu'on fasse un peu de ménage !
Merci.

T4URUS · Answer

Bon alors voila donc il ya juste le 1 (ou il y a toujours marqué en rouge qu'il est suspect) et le 5 qui sont les même:
Fichier 1:Item Name: TUKERNEL.EXE
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\TUKERNEL.EXE
Type: Drivers



Fichier 2:Item Name: UIHost
Author: Microsoft Corporation
Related File: C:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler	u_logonui.exe
Type: Winlogon System




Fichier 3:Item Name: at1c26yj.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\AT1C26YJ.SYS
Type: Drivers



Fichier 4:Item Name: mchInjDrv
Author: 
Related File: \??\C:\WINDOWS\TEMP\mc21.tmp
Type: Services detected by Partizan



Fichier 5:Item Name: ImageMixer 3 SE Camera Monitor Ver.4.lnk
Author: PIXELA CORPORATION
Related File: C:\Program Files\PIXELA\ImageMixer 3 SE Ver.4\Transfer Utility\CameraMonitor.exe
Type: Common Startup Folder






Voila je précise que c'est fait sans redémarage et qu'il n'y a donc pas celui qui apparait seulement après un redémarage (qui n'était pas important) et je trouve que le 3 ressemble assez a l'ancien qu'on suspécter et que le 4 est un peu étrange, mais bon j'attend ton verdict pour agir ^^
Merci beaucoup.

T4URUS · Answer

Oups désolé de l'avoir posté deux fois, petit soucis.

fabul · Answer

Fichier 3:Item Name: at1c26yj.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\AT1C26YJ.SYS
Type: Drivers

Temp = toujours mauvais et oui  AT1C26YJ.SYS  est notre caméléon

Fichier 4:Item Name: mchInjDrv
Author:
Related File: \??\C:\WINDOWS\TEMP\mc21.tmp
Type: Services detected by Partizan

Donc, Get it out - Terminate - Reboot  pour ces deux fichiers.

fabul · Answer

As tu Spysweeper  ou Spyware Doctor

Fichier 4:Item Name: mchInjDrv
Author:
Related File: \??\C:\WINDOWS\TEMP\mc21.tmp
Type: Services detected by Partizan

pourrait ou non ètre associé un d'eux,mais ce n'est pas grave si il est supprimé.

T4URUS · Answer

Bon alors voila j'ai supprimé les deux mais le problème est toujours la, je les ai supprimé mais je n'ai pas fait le redémarage avant pour ne pas qu'il me file entre les doigts comme la première fois, je ne sais pas si ça a joué.
Et autre chose de suspect après avoir redémarer il est revenu sur le menu de l'analyse et il y avait celui la a la place de l'ancien-supprimé donc-
Fichier: Item Name: a8bi1ff8.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\A8BI1FF8.SYS
Type: Drivers



Il lui ressemble beaucoup, tu trouve pas ?
Mais que faire si lorsque l'on le supprime il en recrée un ? :(

Merci.

T4URUS · Answer

Non je n'ai aucun des deux logiciels.

fabul · Answer

Il faudrait faire une analyse et supression durant le redémarrage,

Je crois que tu commence a t'y habituer,tu va devenir un pro.

Tu saura lequel ou lesquels supprimer.

Enfin,je crois.

T4URUS · Answer

lol pro je sais pas mais bon, bon alors cette fois ci je fait redémarage avant et on va bien voir si il reste ou si il disparait comme tout a l'heure, si il reste je le supprime.
Merci.

T4URUS · Answer

Bon alors je l'ai supprimer avec redémarage mais il y en a encore un nouveau maintenant, mais il y a quelque chose d'étrange, lorsque je le supprime et que je redémarre après il dit un truc que je vais te montrer, je vais le supprimer encore une fois et prendre en photo le message qu'il dit, je pense que ça a un rapport.

fabul · Answer

Quand tu analyse et supprime en rebootant,tu choisit bien de rebooter encore pour terminer la suppression avant d'atteindre Windows?

Si ça ne fait pas,désinstalle Reanimator et installe la version payante,elle est plus puissante et tu a 30 jours d'évaluation gratuite.

Elle inclut UnHackMe,c'est meilleur contre les Rootkits et tu en a bel et bien un.

Platinum Edition 6.7

https://www.greatis.com/security/download.htm

Dans la version Platinum,Reanimator ne s'appelle pes reanimator mais Start Control,ce que tu utilisera,c'est plutot UnHackMe,tu peut l'atteindre par l'icone a coté de l'horloge,choisir Check for Rootkit et Reboot.

T4URUS · Answer

Oui je reboot toujours après, ok je vais télécharger la version payante et on va voir, pck la ça fait 5 fois que je le supprime et il m'en recrée toujours un avec un nom différent mais qui est toujours fichier 3 et ".sys" donc ya pas trop de doute a avoir.
Merci.

T4URUS · Answer

Bon alors voila avec la version platinum j'ai fait la même chose qu'avant résultat:

Fichier 1:
Item Name: TUKERNEL.EXE
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\TUKERNEL.EXE
Type: Drivers


Toujours lui et toujours avec marqué en rouge qu'il est suspect.



Fichier 2:Item Name: ImageMixer 3 SE Camera Monitor Ver.4.lnk
Author: PIXELA CORPORATION
Related File: C:\Program Files\PIXELA\ImageMixer 3 SE Ver.4\Transfer Utility\CameraMonitor.exe
Type: Common Startup Folder




Lui aussi était la avant, il était le fichier 5, ils ont l'air de dirent qu'il n'est pas suspect.







Fichier 3:Item Name: mc21.tmp
Author: Unknown
Related File: C:\WINDOWS\TEMP\MC21.TMP
Type: Drivers



Alors lui pour moi c'est le suspect Numéro 1, un temp en plus, et il y a marqué en noir en plus: This setting is different from default. It is warning only.


Donc voila, il corréspond pas a celui d'avant (il n'est pas "Sys") mais moi il me semble suspect, et yen a pas d'autre ce qui est un peu étrange.


J'attend ton verdicte ^^
Merci.

T4URUS · Answer

Ah mince escuse moi j'avais pas lu ce que tu disais en dessous, je n'ai pas fait "check for rootkit" je vais le faire mainteant

fabul · Answer

J'en perd un peu mon latin,

Et pour le reste des détections,c'est bien des programmes familiers c'est a dire Tune up et pixela,rien a douter a propos d'eux?

Oui,le temp,a supprimer,mais c'est dans l'ordre des étapes que je suis moins certain,parce que pour le fichier.Rootkit,le mieux serait d'utiliser UnHackMe tu peut l'atteindre par l'icone a coté de l'horloge,choisir Check for Rootkit et Reboot.

Je ne sait pas si il les sautera les deux.espèront que oui,le mieux serait qu'ils partennt tous d'un coup.

T4URUS · Answer

Bon alors j'ai refait une détéction depuis unhackme check me now puis check the malware et je retombe sur le même menu qu'avant et la il ya notre suspect, donc la yen a 4 les 3 même que dans mon post d'en haut plus notre fameux suspect, pourquoi n'apparassait il pas quand je faisait "scan for virus" je ne sais pas. Donc:



Fichier 1:Item Name: TUKERNEL.EXE
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\TUKERNEL.EXE
Type: Drivers





Fichier 2:Item Name: ar4vo2rb.SYS
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\DRIVERS\AR4VO2RB.SYS
Type: Drivers




Fichier 3:Item Name: ImageMixer 3 SE Camera Monitor Ver.4.lnk
Author: PIXELA CORPORATION
Related File: C:\Program Files\PIXELA\ImageMixer 3 SE Ver.4\Transfer Utility\CameraMonitor.exe
Type: Common Startup Folder





Fichier 4:Item Name: mc21.tmp
Author: Unknown
Related File: C:\WINDOWS\TEMP\MC21.TMP
Type: Drivers


Voila donc nos deux suspect son 2 et 4 je présume.
Merci.

T4URUS · Answer

Oui éffectivement, c'est moi même qui est installer tune up et pixela.

fabul · Answer

Oui,

Et j'ai justement sous la main la mème version que toi,alors,je fait Check me now,il me dit no trojans found,je clic sur OK et il ouvre une fenètre ou c'est écris Test Windows boot process,c'est ça que tu devrait faire si tu ne l'a pas fait.

Je ne sait pas si ça se passe comme ça pour toi.

T4URUS · Answer

Bon alors voila c'est éxactement comme tu ma dit, je n'avais pas fait comme ça avant, je l'ai donc fait et ça ma afficher ça comme résultat
Fichier 1: Item Name: TUKERNEL.EXE
Author: Microsoft Corporation
Related File: C:\WINDOWS\SYSTEM32\TUKERNEL.EXE
Type: Drivers





Fichier 2:Item Name: mchInjDrv
Author: 
Related File: \??\C:\WINDOWS\TEMP\mc21.tmp
Type: Services detected by Partizan



Fichier 3:Item Name: ImageMixer 3 SE Camera Monitor Ver.4.lnk
Author: PIXELA CORPORATION
Related File: C:\Program Files\PIXELA\ImageMixer 3 SE Ver.4\Transfer Utility\CameraMonitor.exe
Type: Common Startup Folder




Fichier 4: Item Name: mc21.tmp
Author: Unknown
Related File: C:\WINDOWS\TEMP\MC21.TMP
Type: Drivers



Comme tu peux le remarquer on se retrouve avec 2 temp sur les bras mais notre caméléon c'est évaporer, autre détail étrange, maintenant je ne peux même plus allez sur google, j'ai du venir sur cette page avec l'historique, de plus plus bizare.
Merci.

fabul · Answer

Peut ètre qu'avec scan for virus pour éliminer les deux temp.

NoteL:un est service et l'autre Driver pour le mème fichier

Mais ils ne sont plus dans système32 / Drivers

fabul · Answer

Vide ton dossier prefetch (en cochant la case prefetch) avec CCleaner

et ATF-Cleaner par Atribune vide les dossiers temp,ça aiderait peut ètre,mème si ce n'est pas avec ça qu'on combat des malwares.

T4URUS · Answer

Bon alors j'ai essayer de les supprimé par "scan for virus" et ça ma fait la même chose que tout a l'heure, après avoir redémarrer il me dit sur l'écran bleue:
Safe file
\??\C:\WINDOWS\TEMP\mc21.tmp 
Doesnt' exist


Ou un truc comme ça, il me le disait aussi tout a l'heure, en gros il le supprime pas pck il croit qu'il n'éxiste pas si j'ai bien compris, je retourne dans scan et la \??\C:\WINDOWS\TEMP\mc21.tmp  n'y est plus mais il reste Item Name: mc21.tmp
Author: Unknown
Related File: C:\WINDOWS\TEMP\MC21.TMP
Type: Drivers

Donc je me demande si il serait possible que "/??\C:\WINDOWS\TEMP\mc21.tmp " agisse comme une sorte de bouclier pour 
Item Name: mc21.tmp
Author: Unknown
Related File: C:\WINDOWS\TEMP\MC21.TMP
Type: Drivers


Voila je vais essayer d'y allez directement par windows pour voir si ils éxistent ou pas pck je ne l'ai fait que pour le caméléon.
Merci.

T4URUS · Answer

Alors j'ai télécharger ccleaner mais je ne sais pas comment on vide le dossier prefetch, donc si tu pouvais m'éxpliquer ce serait cool ^^
Merci.

fabul · Answer

Quand tu l'ouvre,il y a une case en bas a gauche dans "avancé" écrit prefetch

Va aussi dans les options et avancées et décoche la case Effacer uniquement les fichiers datant de plus de 24 heures.

ensuite,dans nettoyeur,clic sur Analiser puis nettoyer.

T4URUS · Answer

Alors voila j'ai fait ce que tu ma demandé avec ccleaner, bon je ne peut toujours pas accéder a google et peux tu m'éxpliquer plus en détail ce qu'il faut faire avec la deuxième application stp ?
Merci.

fabul · Answer

Ce que j'espèrait que tu voit avec unhackme,c'était une image comme ça:http://www.heise.de/software/screenshots/43716.gif

Il m'a déja sorti de la m**** comme ça.

Tu va peut ètre avoir l'occasion de la voir.

T4URUS · Answer

Je n'ai pas vu de menu ressemblant comme ça =/ t'as fait quoi éxactement pour arrivez a ce menu ?

fabul · Answer

Rien,j'ai juste redémarré et quelques instants plus tard,paf,c'est apparu.je me suis appercu en cherchant que c'était bien un rootkit fichier introuvable,inconnu etc. ou peut ètre pas inconnu.

fabul · Answer

Je n'ai pas envie de jeter l'éponge,mais,si un pro passe par ici et sait quoi faire avec ça,qu'il le dise,

Quand tu voudra désinstaller regrun,dans Start control / Uninstall Partizan, tu utilisera Uninstall partizan avant de le désinstaller.

En attendant,je ne sait plus trop quoi faire pour t'aider,et je ne veut pas planter ton système avec Combofix,ça prendrait quelqu'un qui le connait.

T4URUS · Answer

Ouai merci beaucoup pour tout, vraiment merci ! Mais sinon c'est quoi combo fix ? Enfin si c'est risqué je veut pas le faire mais par simple curiosité, et tu pense qu'un reformatage pourrait résoudre le problème ?
Merci encore pour le temps que tu as pris pour m'aider.

fabul · Answer

C'est sur qu'un formatage arrangerait les choses,mais tu serait aussi bien de prendre une autre initiative avant.

Et ètre sur que tu ne te réinfectera pas tout de suite après.

Combofix ne doit pas ètre utilisé nimporte comment et je ne suis pas formé avec cet outil.

Il vaudrait mieux que tu sauvegarde tes données avant de tenter quoi que ce soit avec.

Si quelqu'un qui le connait passait par ici,ça serait bien.

T4URUS · Answer

Mais ça consiste en quoi en fait combofix ?au pire je créez un topic parlant directement du logiciel, pck il ya peu de chance que quelqu'un qui connaisse passe par ici aille a la troisième page et vois qu'on a besoin de lui alors que si c'est dans un titre de topic il le remarqueras tout de suite, enfin j'aimerais bien savoir a quoi sa sert, comme je peut pas faire de recherche google :(
Merci ^^

fabul · Answer

Ce n'est peut ètre pas nécessairement Combofix qui peut ètre utilisé,il y a gmer et il y en a d'autres.

Je ne connais pas tous les comportements de tous les malwares,quelqu'un connaissant celui ci choisirra peut ètre un autre tool en conséquence.

et comme je dit,il peut ètre dangeureux si mal utilisé,donc il vaut peut ètre mieux ne pas trop attirer l'attention des débutants sur cet outil.

Attends un petit moment,

fabul · Answer

- Télécharge Random's System Information Tool  (RSIT)  (par random/random)sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

-Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches) dans deux messages différents.

T4URUS · Answer

Alors le log:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Manoukk at 2010-01-19 13:29:23
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 651 GB (91%) free of 715 GB
Total RAM: 3071 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:29:26, on 19/01/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Avast\Avast4\aswUpdSv.exe
C:\Program Files\Avast\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Program Files\Avast\Avast4\ashMaiSv.exe
C:\Program Files\Avast\Avast4\ashWebSv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\PROGRA~1\Avast\Avast4\ashDisp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\iTunes\iTunes.exe
C:\Documents and Settings\Manoukk\Mes documents\Downloads\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files	rend micro\Manoukk.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O1 - Hosts: 78.159.110.36 www.google.no
O1 - Hosts: 78.159.110.36 www.google.com.mx
O1 - Hosts: 78.159.110.36 www.google.co.za
O1 - Hosts: 78.159.110.36 www.google.fi
O1 - Hosts: 78.159.110.36 www.google.dk
O1 - Hosts: 78.159.110.36 www.google.es
O1 - Hosts: 78.159.110.36 www.google.se
O1 - Hosts: 78.159.110.36 www.google.be
O1 - Hosts: 78.159.110.36 www.google.com
O1 - Hosts: 78.159.110.36 www.google.at
O1 - Hosts: 78.159.110.36 www.google.it
O1 - Hosts: 78.159.110.36 www.google.com.au
O1 - Hosts: 78.159.110.36 search.yahoo.com
O1 - Hosts: 78.159.110.36 www.google.com.br
O1 - Hosts: 78.159.110.36 www.google.ca
O1 - Hosts: 78.159.110.36 uk.search.yahoo.com
O1 - Hosts: 78.159.110.36 www.google.ch
O1 - Hosts: 78.159.110.36 www.google.pt
O1 - Hosts: 78.159.110.36 www.google.gr
O1 - Hosts: 78.159.110.36 www.google.de
O1 - Hosts: 78.159.110.36 www.google.ie
O1 - Hosts: 78.159.110.36 www.google.co.jp
O1 - Hosts: 78.159.110.36 www.google.nl
O1 - Hosts: 78.159.110.36 www.google.fr
O1 - Hosts: 78.159.110.36 us.search.yahoo.com
O1 - Hosts: 78.159.110.36 www.google.co.uk
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ImageMixer 3 SE Camera Monitor Ver.4.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

T4URUS · Answer

Et le info:

info.txt logfile of random's system information tool 1.06 2010-01-19 13:29:27

======Uninstall list======

-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Age of Empires III-->C:\PROGRA~1\FICHIE~1\INSTAL~1\Driver\11\INTEL3~1\IDriver.exe /M{485775E8-AEB8-46BD-922B-242879E03DD5} 
AMD Processor Driver-->C:\Program Files\InstallShield Installation Information\{C151CE54-E7EA-4804-854B-F515368B0798}\setup.exe -runfromtemp -l0x040c -removeonly
Apple Application Support-->MsiExec.exe /I{3FA365DF-2D68-45ED-8F83-8C8A33E65143}
Apple Mobile Device Support-->MsiExec.exe /I{AADEA55D-C834-4BCB-98A3-4B8D1C18F4EE}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Assistant de connexion Windows Live-->MsiExec.exe /I{DCE8CD14-FBF5-4464-B9A4-E18E473546C7}
ATI - Utilitaire de désinstallation du logiciel-->C:\Program Files\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI AVIVO Codecs-->MsiExec.exe /I{79AE776D-FA42-4040-B5F3-F317500D0FCD}
ATI Catalyst Control Center-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0 
ATI Display Driver-->rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
ATI Problem Report Wizard-->MsiExec.exe /X{5DA6F06A-B389-407B-BF8C-1548767914D8}
avast! Antivirus-->C:\Program Files\Avast\Avast4\aswRunDll.exe "C:\Program Files\Avast\Avast4\Setup\setiface.dll",RunSetup
BattleForge™-->MsiExec.exe /X{C580908C-B3BA-4C19-BD60-16F02F272201}
Bonjour-->MsiExec.exe /I{07287123-B8AC-41CE-8346-3D777245C35B}
Catalyst Control Center - Branding-->MsiExec.exe /I{D9D93D74-107D-4BD3-87D0-AABCF7C98BD5}
Champions Online - Free Trial-->"C:\Program Files\Steam\steam.exe" steam://uninstall/9885
Condition Zero Deleted Scenes-->"C:\Program Files\Steam\steam.exe" steam://uninstall/100
Condition Zero-->"C:\Program Files\Steam\steam.exe" steam://uninstall/80
Correctif n° 2 pour Windows XP Édition Media Center 2005-->C:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
Correctif pour Windows XP (KB888795)-->"C:\WINDOWS\$NtUninstallKB888795$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB891593)-->"C:\WINDOWS\$NtUninstallKB891593$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB899337)-->"C:\WINDOWS\$NtUninstallKB899337$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB899510)-->"C:\WINDOWS\$NtUninstallKB899510$\spuninst\spuninst.exe"
Correctif pour Windows XP (KB902841)-->"C:\WINDOWS\$NtUninstallKB902841$\spuninst\spuninst.exe"
Correctif Windows XP - KB895961-->"C:\WINDOWS\$NtUninstallKB895961$\spuninst\spuninst.exe"
Counter-Strike: Source-->"C:\Program Files\Steam\steam.exe" steam://uninstall/240
Crysis(R)-->MsiExec.exe /I{000E79B7-E725-4F01-870A-C12942B7F8E4}
Day of Defeat: Source-->"C:\Program Files\Steam\steam.exe" steam://uninstall/300
Day of Defeat-->"C:\Program Files\Steam\steam.exe" steam://uninstall/30
Deathmatch Classic-->"C:\Program Files\Steam\steam.exe" steam://uninstall/40
DivX Codec-->C:\Program Files\DivX\DivXCodecUninstall.exe /CODEC
DivX Converter-->C:\Program Files\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player-->C:\Program Files\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Plus DirectShow Filters-->C:\Program Files\DivX\DivXDSFiltersUninstall.exe /DSFILTERS
DivX Plus Web Player-->C:\Program Files\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Google Update Helper-->MsiExec.exe /I{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
Google Earth-->MsiExec.exe /X{C084BC61-E537-11DE-8616-005056806466}
Half-Life 2: Deathmatch-->"C:\Program Files\Steam\steam.exe" steam://uninstall/320
Half-Life 2: Lost Coast-->"C:\Program Files\Steam\steam.exe" steam://uninstall/340
Heroes of Might and Magic V - Tribes of the East-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{66FF4C48-0083-4E60-8556-B883AB200092}\Setup.exe" -l0x40c 
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXPSP2$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Hotfix for Windows Media Player 10 (KB903157)-->"C:\WINDOWS\$NtUninstallKB903157$\spuninst\spuninst.exe"
HydraVision-->MsiExec.exe /X{FCCDE84B-0154-459E-A8F2-C6B3FA5C1881}
ImageMixer 3 SE Ver.4 Transfer Utility-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{CAE4E520-4695-4A96-8661-B62FA5FB669E}\Setup.exe" -l0x40c UNINSTALL -removeonly
Installation Windows Live-->C:\Program Files\Windows Live\Installer\wlarp.exe
Installation Windows Live-->MsiExec.exe /I{46ABBC54-1872-4AA3-95E2-F2C063A63F31}
iTunes-->MsiExec.exe /I{A6FDF86A-F541-4E7B-AEA0-8849A2A700D5}
J2SE Runtime Environment 5.0-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
Java(TM) 6 Update 15-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF}
JDownloader-->C:\Program Files\JDownloader\uninstall.exe
Logiciel d'archivage WinRAR-->C:\Program Files\WinRAR\uninstall.exe
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 1.1 French Language Pack-->MsiExec.exe /X{9A394342-4A68-4EBA-85A6-55B559F4E700}
Microsoft .NET Framework 1.1-->msiexec.exe /X {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 1.1-->MsiExec.exe /X{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Choice Guard-->MsiExec.exe /X{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022-->MsiExec.exe /X{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}
Mozilla Firefox (3.5.7)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
Music Transfer Utility Ver.1-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{9E520B22-546E-4AD3-8958-7D1EB8587AB1}\setup.exe" -l0x40c UNINSTALL -removeonly
NVIDIA Drivers-->C:\WINDOWS\system32
vuninst.exe UninstallGUI
Outil de téléchargement Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
PunkBuster Services-->C:\WINDOWS\system32\pbsvc_heroes.exe -u
Pydon's Shaders Tweak-->C:\Program Files\Electronic Arts\Crytek\Crysis\Extras\Pydon's Shaders Tweak\uninstall.exe
QuickTime-->MsiExec.exe /I{1451DE6B-ABE1-4F62-BE9A-B363A17588A2}
Realtek High Definition Audio Driver-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\Setup.exe" -l0x40c  -removeonly
Ricochet-->"C:\Program Files\Steam\steam.exe" steam://uninstall/60
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
TuneUp Utilities 2006-->MsiExec.exe /I{868D7896-99D4-4513-BC62-2B3AD3E24926}
VC80CRTRedist - 8.0.50727.4053-->MsiExec.exe /I{5EE7D259-D137-4438-9A5F-42F432EC0421}
VLC media player 1.0.3-->C:\Program Files\VideoLAN\VLC\uninstall.exe
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Call-->MsiExec.exe /I{82C7B308-0BDD-49D8-8EA5-9CD3A3F9DF41}
Windows Live Communications Platform-->MsiExec.exe /I{ED00D08A-3C5F-488D-93A0-A04F21F23956}
Windows Live Messenger-->MsiExec.exe /X{770F1BEC-2871-4E70-B837-FB8525FFA3B1}
Windows Media Format Runtime-->"C:\Program Files\Windows Media Player\wmsetsdk.exe" /UninstallAll

======Hosts File======

78.159.110.36	www.google.no
78.159.110.36	www.google.com.mx
78.159.110.36	www.google.co.za
78.159.110.36	www.google.fi
78.159.110.36	www.google.dk
78.159.110.36	www.google.es
78.159.110.36	www.google.se
78.159.110.36	www.google.be
78.159.110.36	www.google.com
78.159.110.36	www.google.at

======Security center information======

AV: avast! antivirus 4.8.1368 [VPS 100119-0]

======System event log======

Computer Name: MANOUK
Event Code: 62464
Message: UVD Information

Record Number: 851
Source Name: ati2mtag
Time Written: 20100111005201.000000+060
Event Type: Informations
User: 

Computer Name: MANOUK
Event Code: 62464
Message: UVD Information

Record Number: 850
Source Name: ati2mtag
Time Written: 20100111005201.000000+060
Event Type: Informations
User: 

Computer Name: MANOUK
Event Code: 62464
Message: UVD Information

Record Number: 849
Source Name: ati2mtag
Time Written: 20100111005201.000000+060
Event Type: Informations
User: 

Computer Name: MANOUK
Event Code: 62464
Message: UVD Information

Record Number: 848
Source Name: ati2mtag
Time Written: 20100111005201.000000+060
Event Type: Informations
User: 

Computer Name: MANOUK
Event Code: 62464
Message: UVD Information

Record Number: 847
Source Name: ati2mtag
Time Written: 20100111005201.000000+060
Event Type: Informations
User: 

=====Application event log=====

Computer Name: MANOUK
Event Code: 1000
Message: Les compteurs de performances pour le service MSDTC (MSDTC) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 5
Source Name: LoadPerf
Time Written: 20100109033529.000000+060
Event Type: Informations
User: 

Computer Name: MANOUK
Event Code: 1000
Message: Les compteurs de performances pour le service TermService (Services Terminal Server) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 4
Source Name: LoadPerf
Time Written: 20100109033527.000000+060
Event Type: Informations
User: 

Computer Name: MANOUK
Event Code: 1000
Message: Les compteurs de performances pour le service RemoteAccess (Routage et accès distant) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 3
Source Name: LoadPerf
Time Written: 20100109033353.000000+060
Event Type: Informations
User: 

Computer Name: MANOUK
Event Code: 1000
Message: Les compteurs de performances pour le service PSched (PSched) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 2
Source Name: LoadPerf
Time Written: 20100109033333.000000+060
Event Type: Informations
User: 

Computer Name: MANOUK
Event Code: 1000
Message: Les compteurs de performances pour le service RSVP (QoS RSVP) ont été chargés.
Les données d'enregistrement contiennent les nouvelles valeurs d'index
assignées à ce service.

Record Number: 1
Source Name: LoadPerf
Time Written: 20100109033333.000000+060
Event Type: Informations
User: 

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\ATI Technologies\ATI.ACE\Core-Static;C:\Program Files\Fichiers communs\DivX Shared\;C:\Program Files\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=16
"PROCESSOR_IDENTIFIER"=x86 Family 16 Model 4 Stepping 2, AuthenticAMD
"PROCESSOR_REVISION"=0402
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Program Files\Java\jre1.5.0\lib\ext\QTJava.zip
"QTJAVA"=C:\Program Files\Java\jre1.5.0\lib\ext\QTJava.zip

-----------------EOF-----------------

fabul · Answer

*Télécharge et installe UsbFix de C_XX & El Desaparecido (Chiquitine29).

*Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.

*Double clique sur le raccourci UsbFix présent sur ton bureau.

*Choisi l'option 1 ( Recherche )

*Laisse travailler l'outil.

*Ensuite poste le rapport UsbFix.txt qui apparaîtra dans ton prochain message.

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
 "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

La,je vais devoir te quiter,je reviendrai voir demain.

@+

T4URUS · Answer

Alors voila le rapport:

############################## | UsbFix V6.075 |

User : Manoukk (Administrateurs) # MANOUK
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 14:40:42 | 19/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Processor model unknown
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100119-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 698,63 Go (635,86 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM
J:\ -> Disque amovible # 3,81 Go (940,31 Mo free) [PSP MANOUK] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 616
C:\WINDOWS\system32\csrss.exe 680
C:\WINDOWS\system32\winlogon.exe 716
C:\WINDOWS\system32\services.exe 760
C:\WINDOWS\system32\lsass.exe 772
C:\WINDOWS\system32\Ati2evxx.exe 928
C:\WINDOWS\system32\svchost.exe 948
C:\WINDOWS\system32\svchost.exe 1024
C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe 1036
C:\WINDOWS\System32\svchost.exe 1176
C:\WINDOWS\system32\svchost.exe 1296
C:\WINDOWS\system32\svchost.exe 1372
C:\WINDOWS\system32\Ati2evxx.exe 1452
C:\Program Files\Avast\Avast4\aswUpdSv.exe 1552
C:\Program Files\Avast\Avast4\ashServ.exe 1604
C:\WINDOWS\system32\spoolsv.exe 1880
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1972
C:\Program Files\Bonjour\mDNSResponder.exe 2004
C:\WINDOWS\eHome\ehRecvr.exe 204
C:\WINDOWS\eHome\ehSched.exe 420
C:\Program Files\Java\jre6\bin\jqs.exe 992
C:\WINDOWS\system32\PnkBstrA.exe 1100
C:\WINDOWS\system32\svchost.exe 1332
C:\WINDOWS\Explorer.EXE 2040
C:\WINDOWS\ehome\mcrdsvc.exe 2200
C:\Program Files\Avast\Avast4\ashMaiSv.exe 2312
C:\Program Files\Avast\Avast4\ashWebSv.exe 2332
C:\WINDOWS\system32\dllhost.exe 2376
C:\WINDOWS\System32\alg.exe 2776
C:\WINDOWS\ehome\ehtray.exe 3624
C:\Program Files\Java\jre1.5.0\bin\jusched.exe 3640
C:\Program Files\Microsoft IntelliPoint\point32.exe 3720
C:\PROGRA~1\Avast\Avast4\ashDisp.exe 3732
C:\WINDOWS\RTHDCPL.EXE 3756
C:\WINDOWS\eHome\ehmsas.exe 3792
C:\Program Files\iTunes\iTunesHelper.exe 3804
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe 3812
C:\WINDOWS\system32\ctfmon.exe 196
C:\Program Files\Messenger\msmsgs.exe 360
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe 2616
C:\Program Files\iPod\bin\iPodService.exe 2820
C:\Program Files\Mozilla Firefox\firefox.exe 2232
C:\WINDOWS\system32\wbem\wmiprvse.exe 2144

################## | Elements infectieux |

J:\autorun.inf  

################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]  
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SSHNAS]  
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{68f27e60-fcbb-11de-8f14-806d6172696f}
Shell\AutoRun\command =H:\Setup.exe 

HKCU\..\..\Explorer\MountPoints2\{df779686-fd4f-11de-a4e8-002421384283}
Shell\Auto\command =MSOCache\doWTP_RESTORE.exe -autorun
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe -autorun

################## | ! Fin du rapport # UsbFix V6.075 ! |




Merci pour tout et a demain.

fabul · Answer

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir.


* Double clique sur le raccourci UsbFix présent sur ton bureau.

* choisi l'option 2 ( Suppression )

* Ton bureau disparaîtra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

* Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau dans ton prochain message .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )


PS:n'essaie plus de supprimer A#######.sys ,c'est inutile,il serait relatif a Daemon Tools.

Voir cet article:https://www.greatis.com/security/A%23%23%23%23%23%23%23.sys%20is%20a%20rootkit.htm

T4URUS · Answer

Rebonjour, bon alors déja je voulais te dire que j'ai re-accés a google mais qu'il est toujours en anglais mais que je peux faire des recherche et cliquer, ça marche sauf quelque fois ou il me met dans une autre fenettre, enfin je te dit ça pck hier a un moment je ne pouvais même plus me connéctais a google, bon j'ai fait ce que tu ma demander et j'ai le rapport, niveau google c'est toujours pareil, a la fin du rapport il ma demandé d'uploader un fichier sur son site pour renforcer sa base de donnée ce que j'ai fait, enfin bref voila le rapport:



############################## | UsbFix V6.075 |

User : Manoukk (Administrateurs) # MANOUK
Update on 19/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 04:53:42 | 20/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Processor model unknown
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100119-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 698,63 Go (635,83 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM
J:\ -> Disque amovible # 3,81 Go (940,38 Mo free) [PSP MANOUK] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 624
C:\WINDOWS\system32\csrss.exe 676
C:\WINDOWS\system32\winlogon.exe 708
C:\WINDOWS\system32\services.exe 760
C:\WINDOWS\system32\lsass.exe 772
C:\WINDOWS\system32\Ati2evxx.exe 928
C:\WINDOWS\system32\svchost.exe 948
C:\WINDOWS\system32\svchost.exe 1008
C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe 1028
C:\WINDOWS\System32\svchost.exe 1168
C:\WINDOWS\system32\svchost.exe 1268
C:\WINDOWS\system32\svchost.exe 1364
C:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler	u_logonui.exe 1400
C:\WINDOWS\system32\Ati2evxx.exe 1444
C:\Program Files\Avast\Avast4\aswUpdSv.exe 1540
C:\Program Files\Avast\Avast4\ashServ.exe 1596
C:\WINDOWS\system32\spoolsv.exe 1896
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 2000
C:\Program Files\Bonjour\mDNSResponder.exe 2032
C:\WINDOWS\eHome\ehRecvr.exe 172
C:\WINDOWS\eHome\ehSched.exe 268
C:\Program Files\Google\Update\GoogleUpdate.exe 368
C:\WINDOWS\eHome\ehRec.exe 480
C:\Program Files\Java\jre6\bin\jqs.exe 528
C:\WINDOWS\system32\PnkBstrA.exe 728
C:\Program Files\Google\Update\GoogleUpdate.exe 1076
C:\WINDOWS\system32\svchost.exe 1356
C:\WINDOWS\system32\userinit.exe 2084
C:\WINDOWS\ehome\mcrdsvc.exe 2156
C:\Program Files\Google\Update\GoogleUpdate.exe 2216
C:\Program Files\Avast\Avast4\ashMaiSv.exe 2324
C:\WINDOWS\Explorer.EXE 2336
C:\Program Files\Avast\Avast4\ashWebSv.exe 2360
C:\WINDOWS\system32\dllhost.exe 2532
C:\WINDOWS\System32\alg.exe 2792
C:\WINDOWS\system32\wbem\wmiprvse.exe 3264

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-343818398-573735546-839522115-1003 
J:\autorun.inf -> fichier appelé : "J:\MSOCache\doWTP_RESTORE.exe -autorun" ( Absent ! )  
Supprimé ! J:\autorun.inf 

################## | Registre |

Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSHNAS]  
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SSHNAS]  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{68f27e60-fcbb-11de-8f14-806d6172696f}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[09/01/2010 03:38|--a------|0] C:\AUTOEXEC.BAT 
[10/01/2010 20:47|-r-hs----|409] C:\boot.ini 
[10/08/2004 13:00|-rahs----|4952] C:\Bootfont.bin 
[09/01/2010 03:38|--a------|0] C:\CONFIG.SYS 
[09/01/2010 03:38|-rahs----|0] C:\IO.SYS 
[09/01/2010 03:38|-rahs----|0] C:\MSDOS.SYS 
[10/08/2004 13:00|-rahs----|47564] C:\NTDETECT.COM 
[10/08/2004 13:00|-rahs----|251712] C:
tldr 
[?|?|?] C:\pagefile.sys 
[20/01/2010 04:54|--a------|3502] C:\UsbFix.txt 
[01/01/1980 00:00|-r-h-----|0] J:\MEMSTICK.IND 
[01/01/1980 00:00|-r-h-----|0] J:\MSTK_PRO.IND 
[13/08/2008 09:42|--a------|4] J:\Init_Control.txt 
[13/08/2008 10:42|--a------|4] J:\Init_load_exe.bin 
[13/08/2008 10:42|--a------|4] J:\Init_load_pops.bin 
[13/08/2008 10:42|--a------|4] J:\powerlock_count.bin 
[31/05/2009 20:08|--ah-----|4096] J:\._.Trashes 
[19/01/2010 16:49|--ah-----|6148] J:\.DS_Store 
[18/01/2010 13:17|--a------|733814784] J:\10 minutes … vivre.avi 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# J:\autorun.inf -> Dossier créé par UsbFix.  

################## | Upload | 

Veuillez envoyer le fichier : C:\DOCUME~1\Manoukk\Bureau\UsbFix_Upload_Me_MANOUK.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.075 ! |




Merci encore.

fabul · Answer

Télécharge RHosts de S!Ri.
Clique sur le lien pour le télécharger sur le bureau.

Double-clique dessus pour le lancer.
Choisi "Restore original Hosts".

Ensuite Utilise Hijackthis (C:\Program Files	rend micro\Manoukk.exe)

Sélectionne "Do a system scan only"

Coche les cases a gauche de ces lignes (si elles sont encore la) et clic sur "Fix Checked".

O1 - Hosts: 78.159.110.36 www.google.no
O1 - Hosts: 78.159.110.36 www.google.com.mx
O1 - Hosts: 78.159.110.36 www.google.co.za
O1 - Hosts: 78.159.110.36 www.google.fi
O1 - Hosts: 78.159.110.36 www.google.dk
O1 - Hosts: 78.159.110.36 www.google.es
O1 - Hosts: 78.159.110.36 www.google.se
O1 - Hosts: 78.159.110.36 www.google.be
O1 - Hosts: 78.159.110.36 www.google.com
O1 - Hosts: 78.159.110.36 www.google.at
O1 - Hosts: 78.159.110.36 www.google.it
O1 - Hosts: 78.159.110.36 www.google.com.au
O1 - Hosts: 78.159.110.36 search.yahoo.com
O1 - Hosts: 78.159.110.36 www.google.com.br
O1 - Hosts: 78.159.110.36 www.google.ca
O1 - Hosts: 78.159.110.36 uk.search.yahoo.com
O1 - Hosts: 78.159.110.36 www.google.ch
O1 - Hosts: 78.159.110.36 www.google.pt
O1 - Hosts: 78.159.110.36 www.google.gr
O1 - Hosts: 78.159.110.36 www.google.de
O1 - Hosts: 78.159.110.36 www.google.ie
O1 - Hosts: 78.159.110.36 www.google.co.jp
O1 - Hosts: 78.159.110.36 www.google.nl
O1 - Hosts: 78.159.110.36 www.google.fr
O1 - Hosts: 78.159.110.36 us.search.yahoo.com
O1 - Hosts: 78.159.110.36 www.google.co.uk
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Ensuite,refait un nouveau scan avec "Do a system scan and save a log"
Et poste le.

T4URUS · Answer

Roh put*** merci 1.000 fois j'ai lancé rhost et ça a marché !! mon google marche et est en français !!! Merci, merci 1.000 fois, vraiment un énorme merci, je te fait le scan d'hijackthis tout de suite ! Merci encore =D

T4URUS · Answer

Euh par contre je ne vois aucune des ligne que tu as citer dans les case a cocher et si je fait fix probleme sans rien coché il me dit que j'ai rien séléctionné.

T4URUS · Answer

Par contre chose étrange, dans le dossier trend micro j'ai deux applications hijackthis et un fichier .text et dans ce fichier text il marque toute les ligne que tu a cité. Etrange, non ?

Merci encore, merci beaucoup !

fabul · Answer

Ils disent qu'avec les options de spyware doctor,on peut désactiver une fonction pour vérifier si c'est bien du a Spyware doctor,mais vu que tu ne l'utilise pas,c'est louche.

T4URUS · Answer

Oki bah dit moi si tu veux que je fasse une analyse ou quoi que ce soit pour faire avancé le mystère, par contre peux tu me dire comment je fait pour mettre "résolu" dans le titre stp et si ya moyen de te mettre une  note ou quelque chose comme ça dit moi et je le ferait !
Merci beaucoup !

fabul · Answer

Je ne sait pas si c'est tout a fait résolu, lis mon message #75  (3 secondes plus tot)

Et pour Daemon tools,si tu n'a pas besoin des options avancées,tu peux le remplacer par Virtual CloneDrive que j'utilise.

T4URUS · Answer

Oui je ne l'ai jamais télécharger il me semble, étrange.. C'est possible que maleware est des similitude de fichier avec spyware doctor ? Pck je ne vois que ça qui  lui ressemble.

T4URUS · Answer

Ah de toute façon je ne l'utilise pas trop, mais si j'en ai besoin j'essaeirai ton logiciel, mais tu ne pense pas que c'est finit ? Pourtant je n'ai plus de soucis, serait-il possible qu'il y est un logiciel espion, et que si je rentre un code de carte bleue par exemple il puisse le voir ?

Merci.

fabul · Answer

Si aucun antivirus n'a détecté de menace,c'est peut ètre un faux positif,si tu peux le voir ce fichier,tu peux l'envoyer sur virustotal,mais ce n'est pas nécessaire de me copier le texte,seulement l'adresse HTTP: après l'analyse effectuée.

T4URUS · Answer

Euh désolé je suis un peu perdu, de quel fichier tu parle ? ^^
Merci beaucoup !

fabul · Answer

WINDOWS\TEMP\mc21.tmp

T4URUS · Answer

Oui mais lui non plus je ne le vois pas, même en activant les fichier système et les fichier cachée, ça fait comme avec l'ancien caméléon.

fabul · Answer

En attendant,tu n'a pas de pare feu a part celui de Windows,tu devrait en mettre un:https://personalfirewall.comodo.com/free-download.php­

Si tu installe celui que ke te propose,décoche tout a l'installation a part Pare feu,quand tu verra (DNS),ne touche pas a ça,laisse ça par défaut,

Après l'installation,un nouveau réseau sera détecté,contente toi de cliquer sur (OK),

Clic droit sur l'icone de Comodo (A coté de l'horloge),et choisit Niveau de sécurité pare feu (Personnalisé)

tu pourra controler ce qui entre et ce qui sort.

Quand tu recevra un message (system tente de recevoir une connection),clic sur Plus d'options et choisit treat as:Thrusted application et se rappeler de ta décision.

Et si j'était toi,je remplacerait Avast par AntiVir

T4URUS · Answer

Merci beaucoup je vais tout de suite l'installer, c'est vrai que celui de windows ça doit pas être le top par contre quand j'installe le nouveau je dois désactiver celui de windows ? Et lorsque je l'aurais installais je doit laisser celui de windows désinstallé ?
Merci beaucoup.

fabul · Answer

Normalement,celui de Windows devrait ètre désactivé a l'installation d'un autre,il n'est pas bon d'en avoir deux activés.

Vérifie dans le Menu démarrer / Exécuter / services.msc

Clic droit sur "Pare feu Windows" / "Propriétés" et met le en mode Désactivé

T4URUS · Answer

"Et si j'était toi,je remplacerait Avast par AntiVir" Ah antivirr  est mieux ? Et gratuit ?
J'installe le pare feux tout de suite, si antivir est gratuit je l'installe après alors (le temps que avas finisse son scan ^^) 
Merci.

fabul · Answer

Oui,la version personnelle est gratuite et il est mieux,il détecte mieux les droppers (ceux qui installe le virus)

Avast le détecte trop souvent une fois installé seulement et il ne peut plus rien faire,pas trop avancé...

Ce test est un peu ancien mais il en dit long quand mème:http://forum.malekal.com/ftopic3528.php

T4URUS · Answer

Ok je l'installerais alors, je suis en train d'installer comodo et il me propose  parefeu avec défense+proactif optimal ou défense+proactif maximum, tu me conseille quoi ? Merci encore pour tout.

fabul · Answer

décoche tout a l'installation sauf "Pare feu",quand tu verra (DNS),ne touche pas a ça,laisse ça par défaut,

Après l'installation,un nouveau réseau sera détecté,contente toi de cliquer sur (OK),

Clic droit sur l'icone de Comodo (A coté de l'horloge),et choisit Niveau de sécurité pare feu (Personnalisé)

Quand tu recevra un message (system (sur xp,c'est autre chose) tente de recevoir une connection),clic sur Plus d'options et choisit treat as:Thrusted application et se rappeler de ta décision. 

Plus d'infos sur Comodo:https://www.malekal.com/tutorial-comodo-firewall/

T4URUS · Answer

Et voila j'ai installer l'antivirus et le pare-feu, merci beaucoup pour toutes tes indications et merci pour tout !
Vraiment merci  !

fabul · Answer

Si tu veut signaler comme résolu,si c'est ton choix,clic sur le triangle jaune pour le signaler aux modérateurs,

Si il y a quelque chose,repasse.

Salut et bonne journée.

T4URUS · Answer

Je le signale résolu merci beaucoup, par contre si ya un moyen de te mettre un note dit moi pck ce serait normal.
Salut et merci encore !

fabul · Answer

As tu fait un scan avec AntiVir?

T4URUS · Answer

Oui j'ai fait un scan avec tout ce que j'ai, dailleur antivir a détécté quelques fichier mauvais, que j'ai supprimé tout de suite.

Problème Antivirus plus google

86 réponses

Newsletters