PC infecté

Question

Bonjour,

Mon PC est infecté , j'ai fait un hijackthis et je voudrais envoyer le rapport mais est ce que les indications qu'il contient sont susceptibles d'être utilisées par des tiers mal intentionnés??

Utilisateur anonyme · Answer

Bonjour,
Absolument pas.

truecode · Answer

Bonjour , 
Tu peux poster ton rapport en toute sécurité mais essai plutot de poster ce rapport il y a aura le rapport hijackthis ainsi que d'autre info qui vont permettre de t'aider.

• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe 
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )

hjd · Answer

Merci pour cette réponse rapide, je suis assez novice en informatique, mais je vais essayer de suivre tes indications; affaire à suivre....

truecode · Answer

D'accord si tu as le moindre de soucis dans la manipulation hésite pas

truecode · Answer

Alors pas mal d'infection on va faire par étape : 

Commence par cette manip:

• Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
•  Lance l'installation avec les paramètres par défaut.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
•  Double-clique sur le raccourci UsbFix sur ton Bureau.
• Choisis l'option 1 (Recherche).
• Laisse travailler l'outil.
•  Poste le rapport UsbFix.txt. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

hjd · Answer

voici le rapport:
############################## | UsbFix V6.097 |


Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:17:29 | 26/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) Dual Core Processor 4450e
Microsoft® Windows Vista™ Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 286,31 Go (162,46 Go free) [COMPAQ] # NTFS
D:\ -> Disque fixe local # 11,77 Go (1,61 Go free) [FACTORY_IMAGE] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,47 Go (7,05 Go free) [KINGSTON] # FAT32

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32undll32.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Program Files\webserver\webserver.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\hp\support\hpsysdrv.exe
C:\Windows\System32undll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Windows\bill102.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
C:\PROGRA~1\MICROS~2\wkcalrem.exe
C:\Windows\system32\wbem\wmiprvse.exe
c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\dufour\AppData\Local\pqsuvxz.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wermgr.exe

################## | Elements infectieux |

C:\Users\DUFOUR~1\AppData\Local\Temp\gtb.exe  

################## | Registre |

[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"  
[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoClose"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{b44044fa-ccf4-11dd-85c1-00219720eb20}
shell\Auto\command =tel.xls.exe 
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL tel.xls.exe

HKCU\..\..\Explorer\MountPoints2\{b89f910e-e971-11dd-93a3-00219720eb20}
shell\Auto\command =J:\RavMonE.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL J:\RavMonE.exe e

HKCU\..\..\Explorer\MountPoints2\{c2389815-7118-11de-a74a-00219720eb20}
shell\Auto\command =RavMonE.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e

HKCU\..\..\Explorer\MountPoints2\{f5c236f4-e795-11dd-9a26-00219720eb20}
shell\Auto\command =RavMonE.exe e
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.097 ! |

truecode · Answer

Maintenant on passe au nettoyage : 


• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
•  Choisis l'option 2 (Suppression).
•  Ton Bureau disparaîtra et le PC redémarrera.
•  Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
•  Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

hjd · Answer

voilà le nouveau rapport:
############################## | UsbFix V6.097 |


Update on 20/02/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:40:45 | 26/02/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) Dual Core Processor 4450e
Microsoft® Windows Vista™ Édition Familiale Basique  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 286,31 Go (162,29 Go free) [COMPAQ] # NTFS
D:\ -> Disque fixe local # 11,77 Go (1,61 Go free) [FACTORY_IMAGE] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,47 Go (7,05 Go free) [KINGSTON] # FAT32
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32undll32.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AskBarDis\bar\bin\AskService.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\Windows\system32\svchost.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Windows\system32\svchost.exe
C:\Program Files\webserver\webserver.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\AVG\AVG9\avgemc.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32	askeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32unonce.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wermgr.exe

################## | Elements infectieux |

Supprimé ! C:\Users\DUFOUR~1\AppData\Local\Temp\gtb.exe 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-1001 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-1002 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-500 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-501 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-379578684-575248035-2863804450-1000 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-724094291-1509816683-1447204788-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-1000 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-1001 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-1002 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-500 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-2582018311-3768323340-1882326302-501 
Supprimé ! D:\$Recycle.Bin\S-1-5-21-379578684-575248035-2863804450-1000 

################## | Registre |

Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"  
Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoClose"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{b44044fa-ccf4-11dd-85c1-00219720eb20}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{b89f910e-e971-11dd-93a3-00219720eb20}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{c2389815-7118-11de-a74a-00219720eb20}\Shell\Auto\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{f5c236f4-e795-11dd-9a26-00219720eb20}\Shell\Auto\Command  


################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-de-dufourjea.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .

truecode · Answer

Maintenant fais cela : 

Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe] (de Cyrildu17 / C_XX) sur ton Bureau. 

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\ 

Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files). 
Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau. 
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur) 
Au menu principal, choisis l'option A. 
Poste le rapport généré (C:\Ad-Report-Scan-(date).log). 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

hjd · Answer

ah damned, moi qui croyais que c'était fini!! bon je m'y recolle !

truecode · Answer

Et non faut mieux que tout soit enlever plutot que de revenir dans peu de temps non ?

truecode · Answer

Il suffit juste de lire et de suivre les instructions ne t'inquiète pas ces outils sont fait pour

hjd · Answer

.yes ! voici donc  le rapport:

======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 22:37:47, 26/02/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ HomeBasic Service Pack 2 v6.0.6002

.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.
Service: *ASKService* 
Service: *ASKUpgrade* 

C:\Program Files\Mozilla FireFox\Components\AskSearch.js 
C:\Program Files\AskBarDis 
C:\Users\Hugo\AppData\Local\Temp\AskBarDis 
C:\Users\Hugo\AppData\Local\Temp\Low\AskBarDis 
C:\Users\Jules\AppData\Local\Temp\AskBarDis 
C:\Users\Jules\AppData\Local\Temp\Low\AskBarDis 
C:\Users\Hugo\AppData\Local\AOL\ieToolbar 
C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Hugo\AppData\Local\AOL\ieToolbar 
C:\Users\Jules\AppData\Local\AOL\ieToolbar 
C:\Users\Jules\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Jules\AppData\Local\AOL\ieToolbar 
C:\Users\dufour jean michel\AppData\Local\gfrjcum.bat 
C:\Users\dufour jean michel\AppData\Local\pqsuvxz.dat 
C:\Users\dufour jean michel\AppData\Local\pqsuvxz.exe 
C:\Users\dufour jean michel\AppData\Local\pqsuvxz_nav.dat 
C:\Users\dufour jean michel\AppData\Local\pqsuvxz_navps.dat 
C:\Users\dufour jean michel\AppData\Local\xjtep.bat 
.
HKCU\software\appdatalow\AskBarDis
HKCU\software\AskBarDis
HKCU\software\fcn
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\pqsuvxz
HKLM\software\appdatalow\AskBarDis
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
HKLM\software\microsoft\windows\currentversion\uninstall\pqsuvxz
HKU\s-1-5-21-2582018311-3768323340-1882326302-1000\software\appdatalow\AskBarDis
HKU\s-1-5-21-2582018311-3768323340-1882326302-1000\software\AskBarDis
HKU\s-1-5-21-2582018311-3768323340-1882326302-1000\software\fcn
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.18 [fr] *
.
 Nom du profil: 8u1weg5k.default 
.
(DUFOUR~1, prefs.js) Browser.download.dir, C:\Users\dufour\Downloads
(DUFOUR~1, prefs.js) Extensions.enabledItems, {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.18
. 
. 
.
* Internet Explorer Version 7.0.6002.18005 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Search Page: hxxp://search.shareware.pro/?lang=fr
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Presario&pf=cndt
Enable Browser Extensions: yes
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Presario&pf=cndt
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Search Page: hxxp://search.shareware.pro/?lang=fr
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
5014 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
2264 Fichier(s) - C:\Users\DUFOUR~1\AppData\Local\Temp 
95 Fichier(s) - C:\Windows\Temp 
129 Fichier(s) - C:\Windows\Prefetch 
.
2 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 22:42:45 | 26/02/2010 - SCAN[1]
.
============== E.O.F ==============
.

truecode · Answer

Nikel maintenant relance ad remover puis choisi l'option de nettoyage.
Ensuite poste le nouveau rapport

hjd · Answer

. Nouveau rapport de nettoyage:
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 23:06:03, 26/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows Vista™ HomeBasic Service Pack 2 v6.0.6002

.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
Service: *ASKService* 
Service: *ASKUpgrade* 

C:\Program Files\Mozilla FireFox\Components\AskSearch.js 
C:\Program Files\AskBarDis 
C:\Users\Hugo\AppData\Local\Temp\AskBarDis 
C:\Users\Hugo\AppData\Local\Temp\Low\AskBarDis 
C:\Users\Jules\AppData\Local\Temp\AskBarDis 
C:\Users\Jules\AppData\Local\Temp\Low\AskBarDis 
C:\Users\Hugo\AppData\Local\AOL\ieToolbar 
C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Hugo\AppData\Local\AOL\ieToolbar 
C:\Users\Jules\AppData\Local\AOL\ieToolbar 
C:\Users\Jules\AppData\Local\Microsoft\Windows\Temporary Internet Files\Virtualized\C\Users\Jules\AppData\Local\AOL\ieToolbar 
C:\Users\dufour \AppData\Local\gfrjcum.bat 
C:\Users\dufour \AppData\Local\pqsuvxz.dat 
C:\Users\dufour AppData\Local\pqsuvxz.exe 
C:\Users\dufour \AppData\Local\pqsuvxz_nav.dat 
C:\Users\dufour \AppData\Local\pqsuvxz_navps.dat 
C:\Users\dufour \AppData\Local\xjtep.bat 

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\software\appdatalow\AskBarDis
HKCU\software\AskBarDis
HKCU\software\fcn
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041d03e-fd4b-44e0-b742-2d9b88305f98} 
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\pqsuvxz 
HKLM\software\appdatalow\AskBarDis
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{3041d03e-fd4b-44e0-b742-2d9b88305f98} 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
HKLM\software\microsoft\windows\currentversion\uninstall\pqsuvxz
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.0.18 [fr] *
.
 Nom du profil: 8u1weg5k.default )
.
(DUFOUR~1, prefs.js) Browser.download.dir, C:\Users\dufour \Downloads
(DUFOUR~1, prefs.js) Extensions.enabledItems, {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.18
. 
. 
.
* Internet Explorer Version 7.0.6002.18005 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\Windows\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Start Page: hxxp://fr.msn.com/
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
4929 Octet(s) - C:\Ad-Report-CLEAN[1].log 
5357 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
2168 Fichier(s) - C:\Users\DUFOUR~1\AppData\Local\Temp 
44 Fichier(s) - C:\Windows\Temp 
0 Fichier(s) - C:\Windows\Prefetch 
.
21 Fichier(s) - C:\Ad-Remover\BACKUP
72 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 23:10:08 | 26/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.

truecode · Answer

On avance bien lance cette analyse : 


 Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam-download.php

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

   1. Double clique sur le fichier téléchargé
   2. Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
   3. Quand la mise à jour est terminé va dans l'onglet
   4. Tu sélectionne "Exécuter un examen complet"
   5. Puis tu clique sur"Rechercher"

      L'analyse démarre, le scan est relativement long, c'est normal.

      A la fin de l'analyse, un message s'affiche :

   6. L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.

   7. Maintenant tu clique sur "Ok" pour poursuivre.
   8.Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
   9. Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
  10.Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
  11. Le Bloc-notes va s'ouvrir avec le rapport d'analyse
  12. Fais un copier coller de ce rapport etposte-le dans ton prochain message.

hjd · Answer

bon, je pensais que c'était fini mais j'ai des fenêtres de message de Windows Internet explorer en anglais disant que je dois installer un antivirus + une page qui s'ouvre en suivant: antispyware scan, en anglais aussi

truecode · Answer

D'accord mais je te conseille tout de même de faire l'analyse avec MBAM demain si tu as le temps et de poster le rapport pour ne pas laisser d'éventuels résidus ca serais dommage . 

Ensuite petit conseils tu peux utiliser Firefox avec le petit module adblock plus qui va empecher certaines pubs de s'ouvrir.

Après le scan de MBAM on fera un peu de ménage pour supprimer les outils utilisés.

hjd · Answer

Impossible de télécharger Malwarebytes !
3 fois que j'essaye et en attendant j'ai à nouveau les fenêtres de sites X

truecode · Answer

On va faire autrement : 

--> Si tu es sous Vista, désactive l'UAC le temps de la désinfection. 

Télécharge Navilog1 (de IL-MAFIOSO) et enregistre-le sur le Bureau. 
Double-clique sur Navilog1.exe afin de lancer l'installation. 
Si le fix ne se lance pas automatiquement après son installation, double-clique sur Navilog1 présent sur le Bureau. 
Appuie sur F ou f puis valide par Entrée. 
Appuie sur une touche de ton clavier à chaque fois que cela est demandé, tu arriveras au menu des options. 
Choisis l' option 1 et appuie sur la touche Entrée pour valider ton choix. 
Patiente jusqu'au message : *** Analyse terminée le ..... *** 
Le scan fini, le Bloc-notes contenant le rapport sera affiché, poste le contenu de ce rapport dans ta prochaine réponse. 
Si le résultat du scan ne s'affiche pas, tu le trouveras dans C:\fixnavi.txt 
N'utilise pas l'option 2, 3 et 4 sans notre accord, des fichiers légitimes peuvent être inclus dans ce scan.

hjd · Answer

Fix Navipromo version 4.0.6 commencé le 26/02/2010 23:53:13,94

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Basique  ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) Dual Core Processor 4450e )
BIOS : Phoenix - AwardBIOS v6.00PG

BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:286 Go (Free:162 Go)
D:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
E:\ (CD or DVD)
F:\ (USB) - FAT32 - Total:7645 Mo (Free:7 Go)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 26/02/2010 23:53:45,20 ***

truecode · Answer

Tu la exécuté en tant qu'administrateur ?

hjd · Answer

Bonjour,
oui et je viens de le refaire mais c'est la même chose, par contre dans la partie user on me dit effectivement not administrator; je n'ai pas l'impression que tout ça a été super efficace pour le moment parce que l'ordi a toujours l'air infecté; merci en tout cas de m'aider

hjd · Answer

je viens de me rendre compte que pour le nettoyage par Navilog, je n'ai pas fait la 1ère manip : désactiver l'UAC; est ce que je dois recommencer?

truecode · Answer

Bonjour,

Oui il le faut

hjd · Answer

Bon voilà je pense que c'est pareil:

Fix Navipromo version 4.0.6 commencé le 27/02/2010 12:20:46,49

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\Program Files
avilog1

Mise à jour le 03.01.2010 à 11h00 par IL-MAFIOSO

Microsoft® Windows Vista™ Édition Familiale Basique  ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : AMD Athlon(tm) Dual Core Processor 4450e )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : dufour  ( Not Administrator ! )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:286 Go (Free:161 Go)
D:\ (Local Disk) - NTFS - Total:11 Go (Free:1 Go)
E:\ (CD or DVD)
G:\ (USB)
H:\ (USB)
I:\ (USB)
J:\ (USB)


Recherche executée en mode normal 


[b]Aucune Infection Navipromo/Egdaccess trouvée/b



*** Scan terminé 27/02/2010 12:21:11,03 ***

hjd · Answer

alerte AVG fréquente: menace bloquée
fichier: juisoft.in/hitin.php?affid:02992
nom de la menace: Exploit Rogue spyware scanner ( type 504)

hjd · Answer

c'est de pire en pire , de + en + difficile d'aller sur internet et quand j'y arrive, je tape un site et c'est un autre qui s'affiche, souvent en anglais + les messages d'Avg + les messages d'IE etc etc  HELP

truecode · Answer

Bonsoir ;, 

Fais cela :

* Télécharge MyHosts.exe https://www.sfr.fr/fermeture-des-pages-perso.html (de jeanmimigab) sur ton bureau.
* Fais un double clic sur l'icône du programme pour le lancer.
* Poste le contenu du rapport qui s'ouvre.
* Si aucun rapport ne s'ouvre, tu peux le retrouver à l'emplacement suivant : C:MyHosts.txt

Ensuite 

Lance hijackthis
Choisis "Do a scan only" 
Coche la case devant les lignes suivantes : 


O15 - Trusted Zone: http://*.mappy.com
O15 - Trusted Zone: http://*.orange.fr
O15 - Trusted Zone: http://rw.search.ke.voila.fr
O15 - Trusted Zone: http://orange.weborama.fr 


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 
Clique sur "Fix checked". 
Ferme Hijackthis. 

Ensuite fais un nouveau scan avec RSIT et poste le premier rapport log.txt .
Vois si tu peux télécharger Malware bytes après cela

hjd · Answer

Bonjour,

je pense que le fichier Myhosts.exe ne se lance pas puisque voici ce qu'il y a sur le bloc notes:
** Rapport MyHosts.txt **

MyHosts V.1.0.0.1 de jeanmimigab

Merci à la team MH et à Batch_man pour leurs aides

Résultat de l'opération: succès de l'opération

>>> Le fichier hosts a bien été restauré...

** Fin du rapport **

truecode · Answer

Si c'est bon 
>>> Le fichier hosts a bien été restauré.
Tu arrive toujours pas a faire la manip avec malware bytes

hjd · Answer

Voilà le rapport RSIT et je vais essayer la manip avec malware

Logfile of random's system information tool 1.06 (written by random/random)
Run by dufour at 2010-02-28 11:42:39
Microsoft® Windows Vista™ Édition Familiale Basique  Service Pack 2
System drive C: has 163 GB (56%) free of 293 GB
Total RAM: 1918 MB (60% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:47, on 28/02/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\hp\support\hpsysdrv.exe
C:\Windows\System32undll32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\AVG\AVG9\avgtray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Windows\bill102.exe
C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Windows\system32\conime.exe
C:\Users\dufour \Downloads\RSIT.exe
C:\Users\dufour\Downloads\dufour jean michel.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.microsoft.com/fwlink/?linkid=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - *{EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\Windows\system32\BhoECart.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG9\Toolbar\IEToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [DPService] "C:\Program Files\HP\DVDPlay\DPService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ORAHSSSessionManager] "C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe"
O4 - HKLM\..\Run: [UpdatePDRShortCut] "C:\Program Files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerDirector" UpdateWithCreateOnce "Software\CyberLink\PowerDirector\8.0"
O4 - HKLM\..\Run: [sysfbtray] C:\Windows\bill102.exe
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O13 - Gopher Prefix: 
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: webserver - Unknown owner - C:\Program Files\webserver\webserver.exe

hjd · Answer

toujours impossible:

Firefox ne peut trouver le serveur à l'adresse www.malwarebytes.org.

hjd · Answer

nouvelle menace bloquée par AVG/
pyesoft.in/hitin.php?affid:02992
Exploit Rogue spyware scanner ( type 504)

truecode · Answer

Tu as essayer de le télécharger sur un autre site ?

hjd · Answer

Oui je viens d'essayer, c'est téléchargé sur mon bureau mais impossible de l'ouvrir

truecode · Answer

Fais un scan complet avec ton antivirus ou alors un scan en ligne il faut qu'on arrive a localiser l'infection 
POur le scan en ligne : 


• Désactive ton antivirus
• Rends toi sur cette page : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
• Clique sur "Kaspersky Online Scanner Cliquez-ici"
• Lis le texte d'information, puis clique sur « J'accepte »
• Si une fenêtre te demande t'exécuter un programme, accepte
• Une fois la mise à jour téléchargée, choisis "Poste de travail" pour le scan.
• A la fin de l'analyse, clique sur « Enregistrer rapport » et poste le dans ta prochaine réponse.

Tutoriel illustré : https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky

hjd · Answer

Résultat de l'analyse complète par AVG:

"C:\Users\dufour \AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\02NLZ4TZ\v2newblogger[1].exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Users\dufour \AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\02NLZ4TZ\v2newblogger[2].exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Users\dufour AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0GRUCJ95\v2bloggerjs[1].exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Users\dufour\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0GRUCJ95\v2bloggerjs[1].exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"


"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0GRUCJ95\v2captcha[1].exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0GRUCJ95\v2newblogger[1].exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\98RMXUTO\v2bloggerjs[1].exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BJLL6YWM\v2bloggerjs[1].exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BJLL6YWM\v2captcha[1].exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HEYI0UTN\v2bloggerjs[1].exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HEYI0UTN\v2newblogger[1].exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\T1AY014M\v2captcha[1].exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\T1AY014M\v2captcha[2].exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\T1AY014M\v2newblogger[1].exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TWXZNAX0\v2bloggerjs[1].exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TWXZNAX0\v2captcha[1].exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TWXZNAX0\v2captcha[2].exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Users\dufour jean michel\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TWXZNAX0\v2newblogger[1].exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D0ICKFR0\v2bloggerjs[1].exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D0ICKFR0\v2newblogger[1].exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D0ICKFR0\v2newblogger[2].exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OBO26HCN\v2bloggerjs[1].exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OBO26HCN\v2bloggerjs[2].exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PNO5ZYII\v2captcha[1].exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RVDY8I0O\v2captcha[1].exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RVDY8I0O\v2captcha[2].exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RVDY8I0O\v2newblogger[1].exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Windows\rdr_1267091634.exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Windows\rdr_1267091637.exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Windows\rdr_1267260244.exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Windows\rdr_1267260246.exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Windows\rdr_1267260249.exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"
"C:\Windows\rdr_1267357990.exe";"Virus identifié Worm/Koobface.O";"Placé en quarantaine"
"C:\Windows\rdr_1267357991.exe";"Virus identifié Worm/Koobface.N";"Placé en quarantaine"
"C:\Windows\rdr_1267357996.exe";"Cheval de Troie : Agent2.QGA";"Placé en quarantaine"

truecode · Answer

A voilà une bonne piste Worm/Koobface

Commence par cela  : 

Lance hijackthis
Choisis "Do a scan only" 
Coche la case devant les lignes suivantes : 


O4 - HKLM\..\Run: [sysfbtray] C:\Windows\bill102.exe 


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 
Clique sur "Fix checked". 
Ferme Hijackthis. 

 Puis : 

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe combofix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

hjd · Answer

Impossible de télécharger combofix; le lien ne fonctionne pas non plus, je fais quoi?

truecode · Answer

Tu es sur pourtant quand je clique sur ce lien : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Le téléchargement démarre

truecode · Answer

Avant de faire la suppression manuelle fais cela : 

Va sur le site : https://www.virustotal.com/gui/
Puis analyse ces fichiers :
C:\Windows\system32\drivers\oko6.sys
C:\Program Files\webserver\webserver.exe 
C:\Windows\system32\oko6.dll 
Poste ensuite le rapport .

hjd · Answer

impossible d'y aller

truecode · Answer

Tu y arrive pas en copiant le chemin citer si dessus directement dans la case blanche sur le site

hjd · Answer

mais je ne peux même pas aller sur le site !

truecode · Answer

Ok donc on va faire directement : 
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe combofix.exe  et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

hjd · Answer

ben voilà je viens de faire tout ça et rien ne marche , je viens de faire le mode sans échec et là franchement j'en ai ras le bol, merci vraiment de m'aider et d'avoir autant de patience mais au bout de 3 jours je sais plus, c'est vraiment une grosse galère

truecode · Answer

On va essayer de le supprimer manuellement : ( essai ) 
OTMoveIT
Télécharger [url=http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/]OTMoveIt3 par OldTimer[/url]
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:


:processes

explorer.exe

:files

c:\windows\bill102.exe
c:\program files\webserver\webserver.exe
c:\windows\system32\oko6.dll
:\windows\system32\drivers\oko6.sys
:\program files\webserver\webserver.exe

:reg
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"sysfbtray"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\webserver]


:commands

[emptytemp]

[start explorer]

[reboot]


Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
Cliquer sur le bouton rouge Moveit!.
Fermer OTMoveIt3
Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

hjd · Answer

toujours impossible d'afficher la page , je pense que j'ai 1 problème de connexion ou une manip à faire pour rétablir mais ce qui est bizarre c'est que je peux aller sur d'autres sites et que tout marche correctement pour les autres

truecode · Answer

tu n'arrive pas a télécharger otmoveit ? Essai de le faire en mode sans echec avec prise en charge du réseau 
tu le télécharge puis tu redémarre en mode normal et tu fais la manip

hjd · Answer

non, rien ne marche , impossible d'aller sur les sites, message "impossible d'afficher la page" sans cesse, marre de bidouiller et de chercher partout 1 solution,j'ai essayé 36 manips, franchement, merci mais là pour ce soir j'arrête...

hjd · Answer

Bonjour,

je viens de réussir à télécharger combofix sur mon bureau en utilisant le nom de jasonvoreez ( j'ai trouvé la manip sur une discussion du forum ) ; est ce que je le lance pour envoyer 1 rapport? pas de risque?
Pour le moment je n'ai plus de fenêtres de pubs et autres, par contre toujours les messages "impossible d'afficher la page" sur firefox et il faut que j'insiste plusieurs fois pour aller sur certains sites sinon je suis redirigée vers d'autres ...

truecode · Answer

Tu peux lancer combofix puis poste le rapport

hjd · Answer

OK voilà le rapport :

ComboFix 10-03-01.03 - dufour  02/03/2010  15:32:32.2.2 - x86
Microsoft® Windows Vista™ Édition Familiale Basique   6.0.6002.2.1252.33.1036.18.1918.1037 [GMT 1:00]
Lancé depuis: c:\users\dufour \Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-02-02 au 2010-03-02  ))))))))))))))))))))))))))))))))))))
.

2010-03-02 14:38 . 2010-03-02 14:38	--------	d-----w-	c:\users\Public\AppData\Local	emp
2010-03-02 14:38 . 2010-03-02 14:38	--------	d-----w-	c:\users\Jules\AppData\Local	emp
2010-03-02 14:38 . 2010-03-02 14:38	--------	d-----w-	c:\users\Hugo\AppData\Local	emp
2010-03-02 14:38 . 2010-03-02 14:38	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-02-26 22:52 . 2010-02-27 11:21	--------	d-----w-	c:\program files\Navilog1
2010-02-26 21:33 . 2010-02-26 22:10	--------	d-----w-	C:\Ad-Remover
2010-02-26 20:50 . 2010-02-26 20:50	202000	----a-w-	C:\UsbFix_Upload_Me_PC-de-dufourjea.zip
2010-02-26 20:01 . 2010-02-26 20:01	--------	d-----w-	c:\users\dufour jean michel\AppData\Local\Apps
2010-02-26 19:59 . 2010-02-26 20:50	--------	d-----w-	C:\UsbFix
2010-02-26 17:43 . 2010-02-26 17:43	--------	d-----w-	C:sit
2010-02-26 15:30 . 2010-02-26 15:30	--------	d-----w-	c:\program files\CCleaner
2010-02-24 18:17 . 2010-02-24 18:17	--------	d-----w-	c:\program files\Trend Micro
2010-02-24 17:27 . 2010-02-24 17:27	15602656	----a-w-	c:\programdata\WildTangent\My HP Game Console\Downloads\fr\Installers\SetupGamesClient.exe
2010-02-22 09:30 . 2010-02-22 09:30	--------	d-----w-	c:\users\Hugo\AppData\Roaming\Yahoo!
2010-02-21 18:28 . 2010-02-21 20:19	--------	d-----w-	c:\programdata\Yahoo! Companion
2010-02-21 18:28 . 2010-02-21 18:28	--------	d-----w-	c:\users\dufour jean michel\AppData\Roaming\Yahoo!
2010-02-21 18:28 . 2010-02-21 18:28	--------	d-----w-	c:\program files\Yahoo!
2010-02-20 08:22 . 2009-10-16 11:12	1119488	----a-w-	c:\programdata\AVG Security Toolbar\IEToolbar.dll
2010-02-19 21:52 . 2010-02-19 21:52	--------	d-----w-	c:\users\dufour jean michel\AppData\Local\AVG Security Toolbar
2010-02-19 20:54 . 2010-02-19 20:53	509552	----a-w-	c:\programdata\Google\Google Toolbar\Update\gtbF277.tmp.exe
2010-02-19 20:42 . 2010-02-19 20:42	--------	d-----w-	c:\users\Hugo\AppData\Local\AVG Security Toolbar
2010-02-19 20:19 . 2010-02-19 21:19	--------	d-----w-	C:\$AVG
2010-02-19 20:19 . 2010-02-19 20:19	360584	----a-w-	c:\windows\system32\drivers\avgtdix.sys
2010-02-19 20:19 . 2010-02-19 20:19	12464	----a-w-	c:\windows\system32\avgrsstx.dll
2010-02-19 20:19 . 2010-02-19 20:19	333192	----a-w-	c:\windows\system32\drivers\avgldx86.sys
2010-02-19 20:19 . 2010-02-19 20:19	28424	----a-w-	c:\windows\system32\drivers\avgmfx86.sys
2010-02-19 20:19 . 2010-02-19 20:19	--------	d-----w-	c:\windows\system32\drivers\Avg
2010-02-19 20:19 . 2010-02-21 11:33	--------	d-----w-	c:\programdata\AVG Security Toolbar
2010-02-19 20:18 . 2010-02-19 20:18	--------	d-----w-	c:\program files\AVG
2010-02-19 20:18 . 2010-02-19 20:18	--------	d-----w-	c:\programdata\avg9
2010-02-19 19:24 . 2010-02-19 19:24	680	----a-w-	c:\users\Hugo\AppData\Local\d3d9caps.dat
2010-02-18 22:32 . 2010-02-18 22:32	--------	d-----w-	c:\users\dufour \Impression cartons d'invitation_files
2010-02-09 15:26 . 2010-02-09 15:26	--------	d-----w-	c:\users\dufour lAppData\Local\HP

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-02 14:34 . 2008-08-28 13:10	669328	----a-w-	c:\windows\system32\perfh00C.dat
2010-03-02 14:34 . 2008-08-28 13:10	123350	----a-w-	c:\windows\system32\perfc00C.dat
2010-02-28 19:55 . 2009-01-03 17:22	4432	----a-w-	c:\users\Hugo\AppData\Roaming\wklnhst.dat
2010-02-27 15:54 . 2009-12-06 16:52	--------	d-----w-	c:\users\Hugo\AppData\Roaming\Azureus
2010-02-26 16:46 . 2008-12-16 17:33	3790	----a-w-	c:\users\dufour \AppData\Roaming\wklnhst.dat
2010-02-21 18:42 . 2009-12-06 17:13	--------	d-----w-	c:\users\Hugo\AppData\Roaming\TuneUpMedia
2010-02-19 22:23 . 2008-08-28 03:46	--------	d-----w-	c:\programdata\NVIDIA
2010-02-17 09:26 . 2008-08-28 04:08	588472	----a-w-	c:\windows\system32\ezsvc7x.dll
2010-02-11 12:53 . 2006-11-02 11:18	--------	d-----w-	c:\program files\Windows Mail
2010-02-06 09:49 . 2009-11-14 14:42	--------	d-----w-	c:\program files\Google
2010-02-03 09:23 . 2009-03-19 07:16	--------	d-----w-	c:\users\Hugo\AppData\Roaming\dvdcss
2010-01-21 18:35 . 2010-01-21 18:22	--------	d-----w-	c:\programdata\Alwil Software
2010-01-21 18:24 . 2009-11-13 18:05	--------	d-----w-	c:\program files\Alwil Software
2010-01-21 18:02 . 2010-01-21 18:02	--------	d-----w-	c:\program files\Windows Portable Devices
2010-01-21 18:02 . 2006-11-02 10:25	665600	----a-w-	c:\windows\inf\drvindex.dat
2010-01-21 18:02 . 2010-01-21 18:02	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf
2010-01-21 18:02 . 2010-01-21 18:02	0	---ha-w-	c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
2010-01-21 12:39 . 2006-11-02 12:35	--------	d-----w-	c:\program files\Windows Sidebar
2010-01-21 12:39 . 2006-11-02 12:35	--------	d-----w-	c:\program files\Windows Photo Gallery
2010-01-21 12:39 . 2006-11-02 12:35	--------	d-----w-	c:\program files\Windows Collaboration
2010-01-21 12:39 . 2006-11-02 12:35	--------	d-----w-	c:\program files\Windows Calendar
2010-01-21 12:39 . 2006-11-02 12:35	--------	d-----w-	c:\program files\Windows Defender
2010-01-20 17:14 . 2008-12-16 21:28	81464	----a-w-	c:\users\Jules\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-14 10:12 . 2009-11-13 21:33	181120	------w-	c:\windows\system32\MpSigStub.exe
2010-01-14 08:57 . 2010-01-14 08:57	--------	d-----w-	c:\users\dufour AppData\Roaming\Apple Computer
2010-01-11 16:00 . 2008-12-16 17:20	81464	----a-w-	c:\users\dufour AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-10 20:55 . 2010-01-10 09:05	--------	d-----w-	c:\users\dufour \AppData\Roaming\Azureus
2010-01-10 13:35 . 2008-12-16 18:05	81464	----a-w-	c:\users\Hugo\AppData\Local\GDIPFONTCACHEV1.DAT
2010-01-10 13:35 . 2008-08-28 03:47	--------	d-----w-	c:\programdata\CyberLink
2010-01-10 13:33 . 2008-08-28 03:44	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-01-10 13:33 . 2010-01-10 13:33	--------	d-----w-	c:\programdata\SmartSound Software Inc
2010-01-10 13:33 . 2010-01-10 13:33	--------	d-----w-	c:\program files\SmartSound Software
2010-01-10 13:33 . 2008-08-28 03:44	--------	d-----w-	c:\program files\Common Files\InstallShield
2010-01-10 13:31 . 2008-08-28 03:48	--------	d-----w-	c:\program files\CyberLink
2010-01-10 13:30 . 2010-01-10 13:24	36864	----a-w-	c:\programdata\Temp\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\PostBuild.exe
2010-01-10 12:18 . 2010-01-10 12:18	--------	d-----w-	c:\programdata\Pinnacle
2010-01-09 16:35 . 2009-12-06 16:33	--------	d-----w-	c:\users\dufour \AppData\Roaming\TuneUpMedia
2009-12-27 21:07 . 2009-12-27 21:07	174	----a-w-	c:\users\Hugo\AppData\Roaming\Azureusestart.bat
2009-12-18 13:01 . 2010-01-22 16:56	78336	----a-w-	c:\windows\system32\ieencode.dll
2009-12-16 11:44 . 2010-01-22 16:56	834048	----a-w-	c:\windows\system32\wininet.dll
2009-12-11 11:43 . 2010-02-10 18:46	302080	----a-w-	c:\windows\system32\drivers\srv.sys
2009-12-11 11:43 . 2010-02-10 18:46	98816	----a-w-	c:\windows\system32\drivers\srvnet.sys
2009-12-08 20:01 . 2010-02-10 18:46	904776	----a-w-	c:\windows\system32\drivers	cpip.sys
2009-12-08 20:01 . 2010-02-10 18:46	3600456	----a-w-	c:\windows\system32
tkrnlpa.exe
2009-12-08 20:01 . 2010-02-10 18:46	3548216	----a-w-	c:\windows\system32
toskrnl.exe
2009-12-08 17:26 . 2010-02-10 18:46	30720	----a-w-	c:\windows\system32\drivers	cpipreg.sys
2009-12-04 18:30 . 2010-02-10 18:46	12288	----a-w-	c:\windows\system32	sbyuv.dll
2009-12-04 18:29 . 2010-02-10 18:46	1314816	----a-w-	c:\windows\system32\quartz.dll
2009-12-04 18:28 . 2010-02-10 18:46	22528	----a-w-	c:\windows\system32\msyuv.dll
2009-12-04 18:28 . 2010-02-10 18:46	31744	----a-w-	c:\windows\system32\msvidc32.dll
2009-12-04 18:28 . 2010-02-10 18:46	123904	----a-w-	c:\windows\system32\msvfw32.dll
2009-12-04 18:28 . 2010-02-10 18:46	13312	----a-w-	c:\windows\system32\msrle32.dll
2009-12-04 18:28 . 2010-02-10 18:46	82944	----a-w-	c:\windows\system32\mciavi32.dll
2009-12-04 18:28 . 2010-02-10 18:46	50176	----a-w-	c:\windows\system32\iyuv_32.dll
2009-12-04 18:27 . 2010-02-10 18:46	91136	----a-w-	c:\windows\system32\avifil32.dll
2009-12-04 15:56 . 2010-02-10 18:46	212992	----a-w-	c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 15:56 . 2010-02-10 18:46	105984	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
1995-09-20 13:16 . 1995-09-20 13:16	456976	----a-w-	c:\program files\Common Files\dao3032.dll
2009-06-15 14:51 . 2009-06-15 14:51	8192	--sha-w-	c:\windows\o2cLicStore.bin
2008-08-28 13:26 . 2008-08-28 13:26	8192	--sha-w-	c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]
2009-10-16 11:12	1119488	----a-w-	c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1119488]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program files\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-10-16 1119488]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"HideFastUserSwitching"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\System32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16	39792	----a-w-	c:\program files\Adobe\Reader 8.0\Readereader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG9_TRAY]
2010-02-19 20:18	2020120	----a-w-	c:\progra~1\AVG\AVG9\avgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DPService]
2008-06-11 19:32	90112	------w-	c:\program files\HP\DVDPlay\DPService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Health Check Scheduler]
2008-06-02 13:14	75008	----a-w-	c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 14:24	54840	----a-w-	c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPAdvisor]
2008-07-03 10:44	972080	----a-w-	c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpsysdrv]
2007-04-18 15:01	65536	----a-w-	c:\hp\support\hpsysdrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2009-03-12 19:56	342312	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2008-05-22 14:49	13539872	----a-w-	c:\windows\System32
vcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2008-05-22 14:49	92704	----a-w-	c:\windows\System32
vmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ORAHSSSessionManager]
2009-03-03 09:02	107248	----a-w-	c:\program files\OrangeHSS\SessionManager\SessionManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18	413696	----a-w-	c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2009-04-11 06:28	1233920	----a-w-	c:\program files\Windows Sidebar\sidebar.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2009-11-14 14:40	149280	----a-w-	c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-11-14 14:44	39408	----a-w-	c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdatePDRShortCut]
2008-12-03 21:15	218408	----a-w-	c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
2008-01-21 02:33	1008184	----a-w-	c:\program files\Windows Defender\MSASCui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):b8,fe,cb,9a,97,9a,ca,01

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\drivers\avgldx86.sys [19/02/2010 21:19 333192]
R1 AvgTdiX;AVG Free Network Redirector;c:\windows\System32\drivers\avgtdix.sys [19/02/2010 21:19 360584]
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [19/02/2010 21:18 906520]
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [19/02/2010 21:18 285392]
R2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe -k netsvcs [21/01/2008 03:33 21504]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [21/11/2009 11:39 135664]
S3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\System32\drivers\PCAMp50.sys [13/11/2009 17:02 28224]
S3 PCD5SRVC{BD6912E3-AC9D80E8-05040000};PCD5SRVC{BD6912E3-AC9D80E8-05040000} - PCDR Kernel Mode Service Helper Driver;c:\progra~1\PC-DOC~1\PCD5SRVC.pkms [22/05/2008 20:20 20640]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
okogrp	REG_MULTI_SZ   	okosrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2010-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 10:39]

2010-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-21 10:39]

2010-03-02 c:\windows\Tasks\User_Feed_Synchronization-{0D8E9DE7-B32D-4000-9F18-6392D1EB10FE}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:34]

2010-03-02 c:\windows\Tasks\User_Feed_Synchronization-{49FD1FCD-3AD4-4051-9787-245A886F4570}.job
- c:\windows\system32\msfeedssync.exe [2008-01-21 02:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Presario&pf=cndt
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=84&bd=Presario&pf=cndt
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
FF - ProfilePath - c:\users\dufour jean michel\AppData\Roaming\Mozilla\Firefox\Profiles\8u1weg5k.default\
FF - plugin: c:\program files\Google\Google Earth\plugin
pgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.17
pGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency",   1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug",            false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight",       2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize",       1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight",   25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight",     5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
------- Associations de fichier -------
.
inifile=%SystemRoot%\System32\NOTEPAD.EXE %1"
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-02 15:38
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\PCD5SRVC{BD6912E3-AC9D80E8-05040000}]
"ImagePath"="\??\c:\progra~1\PC-DOC~1\PCD5SRVC.pkms"
.
Heure de fin: 2010-03-02  15:40:25
ComboFix-quarantined-files.txt  2010-03-02 14:40
ComboFix2.txt  2010-03-02 14:17

Avant-CF: 171 493 519 360 octets libres
Après-CF: 171 458 547 712 octets libres

- - End Of File - - 31686707E117B3564C7211D92735EF10

truecode · Answer

La manip avec OTMOVEIT tu n'a toujours pas réussi a la réaliser ?

hjd · Answer

je vais réessayer puisque ça a l'ai de fonctionner à nouveau

hjd · Answer

j'ai arrêté parce que le rapport ne se créait pas et le PC est devenu noir, pendant très longtemps, normal ou pas ?j'ai tout arrêté et rallumé,  flippant en tout cas!

truecode · Answer

Et pour malware bytes toujours impossible de le télécharger ?

hjd · Answer

allons y

hjd · Answer

Ouf, au bout d'1 heure, voici le rapport:
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3815
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

02/03/2010 19:40:24
mbam-log-2010-03-02 (19-40-24).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 379250
Temps écoulé: 1 hour(s), 22 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 20

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\okogrp (Worm.KoobFace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Qoobox\Quarantine\C\Program Files\webserver\webserver.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\bill102.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1266775601.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1266783523.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267033992.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267091325.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267129356.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267178920.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267202177.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267259937.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267260247.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267269523.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267269840.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\rdr_1267357677.exe.vir (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Windows\System32\drivers\oko6.sys.vir (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Users\Hugo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\35JSDSAP\Setup_312s1[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Hugo\Desktop\Official-eMule_setup.exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\Users\Hugo\Downloads\Setup_257(2).exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Hugo\Downloads\Setup_257(3).exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Hugo\Downloads\Setup_257.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

truecode · Answer

Bonjour , 

Mbam a fait le plus gros du boulot 

Ton infection KoobFace s'attrape :
- via des sites pornographiques en téléchargeant de faux codecs pour visualiser des vidéos pornographiques, pour plus d'informations, voir : faux-codec-zlob-videoaccess-trojan-win32-dnschanger-t878.html
- ou via des cracks : videoaccesscodec-zlob-et-les-cracks-t4869.html
- ou MySpace : video-activex-object-codec-et-myspace-t5754.html

Il faudrait être plus méfiant sur internet et ne pas ouvrir tout ce qu'on te proprose...


Fais un nouveau scan avec RSIT et poste moi les deux rapports

PC infecté

61 réponses

Votre réponse

Newsletters