Alureon.G

jujut63 -  
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour. J'ai le virus alureon.G qui est apparu dans plusieurs de mes analyses antivirus, j'ai Microsoft Security essentials, à chaque fois il me m'est désinfecté mais il réapparait. J'ai fait aussi une analyse malwarebytes qui ne me l'a pas trouvé. Mon antivirus m'a indiqué qu'il se trouvait dans rootkit:Alureon --> c:\windows\system32\driver\atapi.sys

J'espère que vous pourrez m'aider.

9 réponses

Résumé de la discussion

Une infection par le rootkit Alureon (Alureon.G) est signalée, avec le fichier atapi.sys situé dans c:\windows\system32\drivers sur Windows Vista et une réapparition après désinfection par divers outils. Plusieurs échanges évoquent l'emploi de Combofix sur Vista pour désinfecter, constatant notamment que le fichier atapi.sys peut être patché par Alureon et que certains outils ont trouvé des éléments persistants malgré Malwarebytes. Des interventions complémentaires mentionnent l'analyse de rapports par Ad-Remover et Malwarebytes, la recommandation d'utiliser une console de récupération et la possibilité d'analyser certains fichiers via VirusTotal.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonsoir,

    tu as tout simplement attrpé un rootkit :

    Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
    Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.

    Voici les principales actions des rootkits :

    * Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
    * Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.

    On va donc tout faire pour te désinfecter :

    * Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

    ▶ Clique sur Démarrer puis sur panneau de configuration
    ▶ Double Clique sur l'icône "Comptes d'utilisateurs"
    ▶ Clique ensuite sur désactiver et valide.
    ▶ Redémarre le PC

    ▶ Télécharge Combofix de sUBs

    ▶ et enregistre le sur le Bureau.

    ▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

    Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Je te conseille d'installer la console de récupération !!

    ensuite envois le rapport stp

    si combofix n'a pas installé la console de récupération, suivre ceci pour l'installe et relance combofix ensuite : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html
    0
  2. jujut63
     
    Il me dit \ device\ harddisk\ volume1\ boot\ BCD Restore this file ? yes No

    Que dois-je faire ?
    0
  3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Il te dis ça pour combofix? tu as bien lu et regardé le tuto?
    0
    1. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
       
      B'soir

      device\ harddisk\ volume1\ boot\ BCD Restore this file ? yes No 


      Je pense que Combo cherche a remplacer Atapi.sys qui est patché .
      0
    2. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      Ah d'accord Merci jfkpresident
      0
    3. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      donc jujut63 device\ harddisk\ volume1\ boot\ BCD Restore this file ? yes No

      Tu peux répondre oui.
      0
    4. jujut63
       
      ok merci je m'étais lancer en mettant oui et tout c'est bien passé.
      Et voici le rapport

      ComboFix 10-04-05.06 - Julie 06/04/2010 21:16:50.1.2 - x86
      Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.2046.994 [GMT 2:00]
      Lancé depuis: c:\users\Julie\Desktop\ComboFix.exe
      SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
      SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
      .

      (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\$recycle.bin\S-1-5-21-1235299717-3819841210-1334943222-500
      c:\program files\IEToolbar
      c:\program files\QUAD Utilities
      c:\program files\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.dll
      c:\users\Julie\AppData\Roaming\inst.exe

      Une copie infectée de c:\windows\system32\drivers\atapi.sys a été trouvée et désinfectée
      Copie restaurée à partir de - Kitty ate it :p
      .
      ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Service_Boonty Games


      ((((((((((((((((((((((((((((( Fichiers créés du 2010-03-06 au 2010-04-06 ))))))))))))))))))))))))))))))))))))
      .

      2010-04-06 19:30 . 2010-04-06 19:33 -------- d-----w- c:\users\Julie\AppData\Local\temp
      2010-04-06 18:17 . 2010-04-06 18:17 19944 ----a-w- c:\windows\system32\drivers\livltbps.sys
      2010-04-06 16:44 . 2010-04-06 16:44 19944 ----a-w- c:\windows\system32\drivers\nacpvshq.sys
      2010-04-04 19:45 . 2010-04-04 20:24 -------- d-----w- c:\users\Julie\AppData\Roaming\PhotoFiltre Studio X
      2010-04-04 08:19 . 2010-04-04 08:19 -------- d-----w- C:\divx
      2010-04-02 20:58 . 2010-04-02 20:58 -------- d-----w- c:\program files\Celebrity Toolbar
      2010-04-02 20:58 . 2010-04-02 20:58 3290928 ----a-w- c:\users\Julie\celebrity_toolbar.exe
      2010-04-02 16:08 . 2010-04-02 16:08 19944 ----a-w- c:\windows\system32\drivers\vsrdglig.sys
      2010-04-01 19:33 . 2010-04-01 19:34 -------- dc----w- c:\users\Julie\AppData\Local\MigWiz
      2010-04-01 19:32 . 2010-04-01 19:32 -------- d-----w- c:\program files\Windows Easy Transfer 7
      2010-04-01 17:36 . 2010-04-01 17:36 -------- d-----w- c:\users\Julie\AppData\Roaming\Malwarebytes
      2010-04-01 17:36 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
      2010-04-01 17:36 . 2010-04-01 17:36 -------- d-----w- c:\programdata\Malwarebytes
      2010-04-01 17:36 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
      2010-04-01 17:36 . 2010-04-01 20:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2010-04-01 16:31 . 2010-04-01 16:31 19944 ----a-w- c:\windows\system32\drivers\qzsysadb.sys
      2010-03-09 19:50 . 2010-03-09 19:50 604140 --sha-w- c:\windows\system32\drivers\ISwift3.dat
      2010-03-09 19:40 . 2010-03-10 15:11 -------- d-----w- c:\programdata\Kaspersky Lab
      2010-03-09 19:40 . 2010-03-09 19:40 -------- d-----w- c:\program files\Kaspersky Lab
      2010-03-08 17:59 . 2010-03-08 17:59 94208 ----a-w- c:\windows\system32\dpl100.dll

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-04-06 18:35 . 2010-04-06 18:35 19944 ----a-w- c:\windows\system32\drivers\pxlybskg.sys
      2010-04-05 08:17 . 2008-06-13 17:26 669566 ----a-w- c:\windows\system32\perfh00C.dat
      0
    5. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
       
      Bonjour, c'est parfais ça tout c'est bien passé, par contre tu es sur que le rapport est complet là, il me semble qu'il manque un morceau.
      0
  4. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour,

    désolé du retard, il te reste encore des infection dont eozero et yoog search :

    ▶ Désactiver vos logiciels de sécurité tel qu'antivirus...

    ▶ Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) :

    https://www.androidworld.fr/

    ▶ Ou là :

    https://www.androidworld.fr/

    /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.

    ▶ Sur la page, clique sur le bouton « Scanner »

    ▶ Confirme lancement du scan

    ▶ Laisse travailler l'outil.

    ▶ Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report.)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jujut63
     
    .le rapport =) : et je mets nettoyer ou pas ?

    ======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 24/04/10 à 20:50
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 16:26:48 le 27/04/2010 | Mode normal | Option: SCAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 2 - X86
    Nom du PC: PC-DE-JULIE (Packard Bell BV EASYNOTE_MX61-B-049FR)
    Utilisateur actuel: Julie (Administrateur)
    .
    ============== ÉLÉMENT(S) TROUVÉ(S) ==============
    .
    .
    C:\ProgramData\Trymedia
    C:\Users\Julie\AppData\Roaming\EoRezo
    .
    HKCU\Software\AppDataLow\0b691645-45e5-5d3c-01c7-aa1cf02d068a
    HKCU\Software\AppDataLow\software\{30AFEC5C-D78E-DFB1-3FAE-8858A3ECB404}
    HKCU\Software\EoRezo
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{DED94EC1-1F5C-4425-BE3F-3092E54A2613}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKCU\Software\Titan Poker
    HKLM\Software\Classes\ComObject.DeskbarEnabler.1
    HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKLM\Software\Classes\Interface\{D6094FC6-821F-474C-8D73-C13066CD178D}
    HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKLM\Software\PopCap
    HKLM\Software\Titan Poker
    HKLM\Software\Trymedia Systems
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.3 (fr) *
    .
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.download.dir: C:\\Users\\Julie\\Downloads
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.download.lastDir: C:\\Users\\Julie\\Desktop
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.search.defaultenginename: Yoog Search
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.search.defaulturl: hxxp://www14.yoog.com/search.php?q=
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.search.selectedEngine: Yoog Search
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.startup.homepage: hxxp://orange.fr
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
    C:\Users\Julie\..\tpr91xss.default\prefs.js - keyword.URL: hxxp://www14.yoog.com/search.php?q=
    C:\Users\Julie\..\tpr91xss.default\user.js - browser.search.defaultenginename: Yoog Search
    C:\Users\Julie\..\tpr91xss.default\user.js - browser.search.defaulturl: hxxp://www14.yoog.com/search.php?q=
    C:\Users\Julie\..\tpr91xss.default\user.js - browser.search.selectedEngine: Yoog Search
    C:\Users\Julie\..\tpr91xss.default\user.js - keyword.URL: hxxp://www14.yoog.com/search.php?q=
    .
    TROUVÉ: C:\Users\Julie\..\tpr91xss.default\prefs.js - user_pref("browser.search.defaultenginename", "Yoog Search");
    TROUVÉ: C:\Users\Julie\..\tpr91xss.default\prefs.js - user_pref("browser.search.defaulturl", "hxxp://www14.yoog.com/search.php?q=");
    TROUVÉ: C:\Users\Julie\..\tpr91xss.default\prefs.js - user_pref("browser.search.selectedEngine", "Yoog Search");
    TROUVÉ: C:\Users\Julie\..\tpr91xss.default\prefs.js - user_pref("keyword.URL", "hxxp://www14.yoog.com/search.php?q=");
    .
    * Internet Explorer Version 8.0.6001.18904 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Show_ToolBar: yes
    Start Page: hxxp://www.orange.fr/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: mhtb:newtab
    Blank: res://mshtml.dll/blank.htm
    .
    ============== SUSPECT(S) ==============
    .
    C:\Users\Julie\Favorites\Mod The Sims - CC (sims3pack files) missing after installing patch 1.8-2.3 Look here!.url
    C:\Users\Julie\Favorites\Nouveau Patch 1.8-2.3 (Sims 3-Sims 3 DA) - Les Sims 3 sur JeuxVideo.com.url
    .
    ========================================
    .
    C:\Users\Julie\AppData\Local\Temp: 64 Fichier(s), 27 Dossier(s)
    C:\Windows\temp: 4 Fichier(s), 3 Dossier(s)
    C:\Users\Julie\AppData\Roaming\Microsoft\Windows\Cookies: 128 Fichier(s), 2 Dossier(s)
    Temporary Internet Files: 599 Fichier(s), 30 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 0 Fichier(s)
    .
    C:\Ad-Report-SCAN[1].txt - 5104 Octet(s)
    C:\Ad-Report-SCAN[2].txt - 4641 Octet(s)
    .
    Fin à: 16:36:11, 27/04/2010
    .
    ============== E.O.F - SCAN[2] ==============
    0
  7. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    bonsoir,

    Parfais :

    Nettoyage:

    /!\ Ferme toutes tes applications ouvertes. /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.

    ▶ Sur la page, clique sur le bouton « Nettoyer »

    ▶ Confirme l'opération

    ▶ Laisse travailler l'outil.

    ▶ Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report.

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Ensuite :

    Télécharge Yoog_Fix de Batch_Man sur ton Bureau.

    Double-clique dessus et choisis l'option 1 ( Recherche )

    Attend que le scan se fasse, un rapport va s'ouvrir.

    Poste le dans ta prochaine réponse.

    PS: S'il ne s'ouvre pas le rapport est à la racine de ton disque sous le nom de Yoog_Fix.txt
    0
  8. jujut63
     
    désolé pour cette réponse si tardive mais voila le rapport de Ad remover :

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 24/04/10 à 20:50
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 13:24:20 le 09/05/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 2 - X86
    Nom du PC: PC-DE-JULIE (Packard Bell BV EASYNOTE_MX61-B-049FR)
    Utilisateur actuel: Julie (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\ProgramData\Trymedia
    C:\Users\Julie\AppData\Roaming\EoRezo

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\AppDataLow\0b691645-45e5-5d3c-01c7-aa1cf02d068a
    HKCU\Software\AppDataLow\software\{30AFEC5C-D78E-DFB1-3FAE-8858A3ECB404}
    HKCU\Software\EoRezo
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{DED94EC1-1F5C-4425-BE3F-3092E54A2613}
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}
    HKCU\Software\Titan Poker
    HKLM\Software\Classes\ComObject.DeskbarEnabler.1
    HKLM\Software\Classes\Interface\{B0D071A1-36B3-4757-A126-14C89C56013A}
    HKLM\Software\Classes\Interface\{D6094FC6-821F-474C-8D73-C13066CD178D}
    HKLM\Software\Classes\TypeLib\{B4C656C9-F2E9-4E77-B3F4-443DF2BD778F}
    HKLM\Software\PopCap
    HKLM\Software\Titan Poker
    HKLM\Software\Trymedia Systems
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.3 (fr) *
    .
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.download.dir: C:\\Users\\Julie\\Downloads
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.download.lastDir: C:\\Users\\Julie\\Videos
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.search.defaultenginename: Yoog Search
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.search.defaulturl: hxxp://www14.yoog.com/search.php?q=
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.search.selectedEngine: Yoog Search
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.startup.homepage: hxxp://orange.fr
    C:\Users\Julie\..\tpr91xss.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
    C:\Users\Julie\..\tpr91xss.default\prefs.js - keyword.URL: hxxp://www14.yoog.com/search.php?q=
    C:\Users\Julie\..\tpr91xss.default\user.js - browser.search.defaultenginename: Yoog Search
    C:\Users\Julie\..\tpr91xss.default\user.js - browser.search.defaulturl: hxxp://www14.yoog.com/search.php?q=
    C:\Users\Julie\..\tpr91xss.default\user.js - browser.search.selectedEngine: Yoog Search
    C:\Users\Julie\..\tpr91xss.default\user.js - keyword.URL: hxxp://www14.yoog.com/search.php?q=
    .
    EFFACÉ: C:\Users\Julie\..\tpr91xss.default\prefs.js - user_pref("browser.search.defaultenginename", "Yoog Search");
    EFFACÉ: C:\Users\Julie\..\tpr91xss.default\prefs.js - user_pref("browser.search.defaulturl", "hxxp://www14.yoog.com/search.php?q=");
    EFFACÉ: C:\Users\Julie\..\tpr91xss.default\prefs.js - user_pref("browser.search.selectedEngine", "Yoog Search");
    EFFACÉ: C:\Users\Julie\..\tpr91xss.default\prefs.js - user_pref("keyword.URL", "hxxp://www14.yoog.com/search.php?q=");
    .
    * Internet Explorer Version 8.0.6001.18904 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    AutoHide: yes
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ============== SUSPECT(S) ==============
    .
    C:\Users\Julie\Favorites\Mod The Sims - CC (sims3pack files) missing after installing patch 1.8-2.3 Look here!.url
    C:\Users\Julie\Favorites\Nouveau Patch 1.8-2.3 (Sims 3-Sims 3 DA) - Les Sims 3 sur JeuxVideo.com.url
    .
    ========================================
    .
    C:\Users\Julie\AppData\Local\Temp: 5 Fichier(s), 25 Dossier(s)
    C:\Windows\temp: 0 Fichier(s), 2 Dossier(s)
    C:\Users\Julie\AppData\Roaming\Microsoft\Windows\Cookies: 2 Fichier(s), 2 Dossier(s)
    Temporary Internet Files: 3 Fichier(s), 30 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 16 Fichier(s)
    C:\Ad-Remover\Backup: 15 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 4883 Octet(s)
    C:\Ad-Report-SCAN[1].txt - 5104 Octet(s)
    C:\Ad-Report-SCAN[2].txt - 4765 Octet(s)
    C:\Ad-Report-SCAN[3].txt - 1344 Octet(s)
    C:\Ad-Report-SCAN[4].txt - 4848 Octet(s)
    .
    Fin à: 13:43:30, 09/05/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    0
  9. jujut63
     
    et celui de yoog fix :

    Yoog_Fix 3.0.1 de Batch_Man | Julie (Administrateur)
    Debut a 18:46 le 11/05/2010
    Microsoft® Windows Vista(6.0.6002)

    AMD Athlon(tm) 64 X2 Dual-Core Processor TK-57
    Ram : 2046,5 Mo
    Normal boot

    UAC : OFF
    Lancé de "C:\Windows\Yoog_Fix.bat"

    C:\ [Fixed] - NTFS - (Total:102180 Mo/Free:2436 Mo)
    D:\ [CD-Rom] (Total:1006 Mo/Free:0 Mo)
    E:\ [Removable] (Total:7572 Mo/Free:3014 Mo)

    Option [1] 2 3 Recherche / Suppression

    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»» [Suppression: Fichiers / Dossiers / Clés / Prefs Firefox]

    SUPPRIME - prefs.js [Julie - tpr91xss.default] user_pref("browser.search.defaultenginename", "Yoog Search");
    SUPPRIME - prefs.js [Julie - tpr91xss.default] user_pref("browser.search.defaulturl", "http://www14.yoog.com/search.php?q=");
    SUPPRIME - prefs.js [Julie - tpr91xss.default] user_pref("browser.search.selectedEngine", "Yoog Search");
    SUPPRIME - prefs.js [Julie - tpr91xss.default] user_pref("keyword.URL", "http://www14.yoog.com/search.php?q=");
    SUPPRIME - user.js [Julie - tpr91xss.default] user_pref("browser.search.defaultenginename", "Yoog Search");
    SUPPRIME - user.js [Julie - tpr91xss.default] user_pref("browser.search.defaulturl", "http://www14.yoog.com/search.php?q=");
    SUPPRIME - user.js [Julie - tpr91xss.default] user_pref("browser.search.selectedEngine", "Yoog Search");
    SUPPRIME - user.js [Julie - tpr91xss.default] user_pref("keyword.URL", "http://www14.yoog.com/search.php?q=");

    ------------[Suspects]

    Aucun fichier suspect trouvé

    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»» [Recherche: Analyse de Firefox]

    ------------[Analyse de Firefox]

    Mozilla Firefox 3.6.3 (fr)
    Répertoire d'installation : C:\Program Files\Mozilla Firefox
    Path: C:\Users\Julie\AppData\Roaming\Mozilla\Firefox\Profiles\tpr91xss.default

    [Julie\..\prefs.js] browser.startup.homepage: "https://www.orange.fr/portail"

    ------------[Extensions Firefox]

    [Julie] chromifox@altmusictv.com = Chromifox Basic
    [Julie] illimitux@illimitux.net = Illimitux
    [Julie] illimitux@illimitux.net = Illimitux
    [Julie] illimitux@illimitux.net = Illimitux
    [Julie] illimitux@illimitux.net = Illimitux
    [Julie] {07b2a769-ed19-4483-87ce-c643914c81bb} = Vista-aero
    [Julie] {07b2a769-ed19-4483-87ce-c643914c81bb} = Vista-aero
    [Julie] {07b2a769-ed19-4483-87ce-c643914c81bb} = Vista-aero
    [Julie] {20a82645-c095-46ed-80e3-08825760534b} = Microsoft .NET Framework Assistant
    [Julie] {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} = Adblock Plus
    [Julie] {D249FD00-4DF9-11D9-9FDC-0080481ADA61} = MetaProducts Integration
    [Julie] {DDC359D1-844A-42a7-9AA1-88A850A938A8} = DownThemAll!
    [Julie] {e001c731-5e37-4538-a5cb-8168736a2360} = BitDefender QuickScanner
    [Julie] {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} = Celebrity Toolbar

    {20a82645-c095-46ed-80e3-08825760534b} = c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ------------[Mozilla Plugins]

    Path = C:\Windows\system32\Macromed\Flash\NPSWF32.dll
    XPTPath = C:\Windows\system32\Macromed\Flash\flashplayer.xpt
    ProductName = Adobe© Flash© Player Plugin
    Vendor = Adobe Systems Incorporated
    Version = 10.0.45.2

    Path = C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll
    XPTPath = C:\Program Files\DivX\DivX Plus Web Player\npdivx32.xpt
    GeckoVersion = 1.00
    Version = 1.0.0

    Vendor = DivX,Inc.
    ProductName = DivX Plus Web Player
    GeckoVersion = 1.7.5
    Path = c:\Program Files\Microsoft Silverlight\3.0.50106.0\npctrl.dll
    ProductName = Ag Player
    Vendor = Microsoft
    Version = 3.0

    Path = C:\Program Files\Microsoft\Office Live\npOLW.dll
    Version = 1.3

    Vendor = Microsoft
    ProductName = Microsoft Office Live Plug-in for Firefox
    Path = C:\Program Files\Microsoft\Office Live\npOLW.dll
    Version = 1.4

    Vendor = Microsoft
    ProductName = Microsoft Office Live Plug-in for Firefox
    GeckoVersion = 1.7.2
    Path = c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
    ProductName = Windows Presentation Foundation
    Vendor = Microsoft Corp.
    Version = 3.5

    Path = C:\Program Files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
    ProductName = Google Update
    Vendor = Google
    Version = 8

    Path = C:\ProgramData\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
    XPTPath = C:\ProgramData\Zylom\ZylomGamesPlayer\nsIZylomPlugin.xpt
    GeckoVersion = 1.00
    Version = 1.00

    Vendor = zylom
    ProductName = Zylom Games Player

    ------------[Plugins de recherche]

    [Julie] live-search.xml = https://outlook.live.com/owa/
    [Program Files] amazon-france.xml = https://www.amazon.fr/
    [Program Files] cnrtl-tlfi-fr.xml = https://www.cnrtl.fr/lexicographie/
    [Program Files] eBay-france.xml = http://search.ebay.fr/
    [Program Files] google.xml = https://www.google.com/
    [Program Files] MediaDICO-fr.xml = http://www.dictionnaire-mediadico.com/dictionnaires.asp
    [Program Files] wikipedia-fr.xml = https://fr.wikipedia.org/wiki/Sp%C3%A9cial:Recherche
    [Program Files] yahoo-france.xml = https://fr.search.yahoo.com/

    ------------[Listing de dossiers]

    [02/04/2010 19:48 | 23000 bytes] C:\Program Files\Mozilla Firefox\Components\browserdirprovider.dll
    [02/04/2010 19:48 | 138712 bytes] C:\Program Files\Mozilla Firefox\Components\brwsrcmp.dll
    [10/04/2007 17:21 | 163256 bytes] C:\Program Files\Mozilla Firefox\plugins\np-mswmp.dll
    [25/07/2009 05:23 | 411368 bytes] C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
    [02/04/2010 19:49 | 64984 bytes] C:\Program Files\Mozilla Firefox\plugins\npnul32.dll
    [22/03/2007 19:23 | 17248 bytes] C:\Program Files\Mozilla Firefox\plugins\NPOFFICE.DLL
    [14/10/2008 22:33 | 95600 bytes] C:\Program Files\Mozilla Firefox\plugins\nppdf32.dll
    [06/06/2009 19:43 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin.dll
    [06/06/2009 19:43 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin2.dll
    [06/06/2009 19:43 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin3.dll
    [06/06/2009 19:43 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin4.dll
    [06/06/2009 19:43 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin5.dll
    [06/06/2009 19:43 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin6.dll
    [06/06/2009 19:43 | 143360 bytes] C:\Program Files\Mozilla Firefox\plugins\npqtplugin7.dll
    [26/10/2009 15:45 | 102400 bytes] C:\Program Files\Mozilla Firefox\plugins\npzylomgamesplayer.dll

    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»» [Recherche: Analyse d'Internet explorer / Registre ]

    Internet Explorer : 8.0.6001.18904

    L1 = HKLM\..\Main.Start Page = https://www.msn.com/fr-fr
    L1 = HKLM\..\Main.Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    L1 = HKCU\..\Main.Start Page = https://www.orange.fr/portail
    L1 = HKCU\..\Main.Window Title =
    L1 = HKU\.DEFAULT\..\Main.Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
    L1 = HKU\.DEFAULT\..\Main.Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    L1 = HKU\S-1-5-21-1434717654-3475227803-588078725-1000\..\Main.Start Page = https://www.orange.fr/portail
    L1 = HKU\S-1-5-21-1434717654-3475227803-588078725-1000\..\Main.Window Title =
    L1 = HKU\S-1-5-18\..\Main.Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
    L1 = HKU\S-1-5-18\..\Main.Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    L1 = HKLM\..\Main.Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    L1 = HKLM\..\Main.Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    L2 = HKCU\..\Internet Settings.ProxyOverride = *.local

    [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
    NoAdd-ons = res://ieframe.dll/noaddon.htm
    NoAdd-onsInfo = res://ieframe.dll/noaddoninfo.htm
    SecurityRisk = res://ieframe.dll/securityatrisk.htm
    Tabs = res://ieframe.dll/tabswelcome.htm
    NavigationFailure = res://ieframe.dll/navcancl.htm
    DesktopItemNavigationFailure = res://ieframe.dll/navcancl.htm
    NavigationCanceled = res://ieframe.dll/navcancl.htm
    OfflineInformation = res://ieframe.dll/offcancl.htm
    Home = 0x10e
    blank = res://mshtml.dll/blank.htm
    PostNotCached = res://ieframe.dll/repost.htm
    InPrivate = res://ieframe.dll/inprivate.htm
    Original = REG_SZ http://www.lo.st/?tabs

    --------[Browser Helper Object]

    BHO: {0C37B053-FD68-456a-82E1-D788EE342E6F},@SANS NOM=MHTBPos00
    BHO: {9030D464-4C02-4ABF-8ECC-5164760863C6},@SANS NOM=(valeur non d'finie)
    BHO: {AA58ED58-01DD-4d91-8333-CF10577473F7},@SANS NOM=(valeur non d'finie)
    BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D},@SANS NOM=(valeur non d'finie)
    BHO: {CA6319C0-31B7-401E-A518-A07C3DB8F777},@SANS NOM=Browser Address Error Redirector
    BHO: {D62EC836-BF1E-4CAC-81BE-FB9179835D8E},@SANS NOM=MyHeritage New Tab
    BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9},@SANS NOM=(valeur non d'finie)

    --------[SearchScopes]

    [HKEY_USERS\S-1-5-21-1434717654-3475227803-588078725-1000\..\SearchScopes],@DefaultScope={DED94EC1-1F5C-4425-BE3F-3092E54A2613}
    [HKEY_USERS\S-1-5-21-1434717654-3475227803-588078725-1000\..\SearchScopes\${searchCLSID}],@DisplayName=@ieframe.dll,-12512
    [HKEY_USERS\S-1-5-21-1434717654-3475227803-588078725-1000\..\SearchScopes\{10FF4B54-2CBA-4ADE-B744-A7DA137F3C53}],@DisplayName=Google
    [HKEY_USERS\S-1-5-21-1434717654-3475227803-588078725-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}],@DisplayName=Search Google
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes],@DefaultScope={DED94EC1-1F5C-4425-BE3F-3092E54A2613}
    [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes],@DefaultScope={6A1806CD-94D4-4689-BA73-E35EA1EA9990}
    [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}],@DisplayName=@ieframe.dll,-12512
    [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}],@DisplayName=Search Google
    [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}],@DisplayName=@ieframe.dll,-12512
    [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{10FF4B54-2CBA-4ADE-B744-A7DA137F3C53}],@DisplayName=Google
    [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}],@DisplayName=Search Google

    --------[Extensions]

    --------[Clé Run]

    ------------[Autres infections]

    »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

    »»»»»»»»»»» [Autres rapports]

    [11/05/2010 18:47] C:\Yoog_Fix\Logs\Rapport_11_05_2010_n1.txt - (Choix 1 : Recherche / Suppression)

    -------------------------->>

    Veuillez uploader le fichier C:\Yoog_Fix\Backups\Backup_11_05_2010_1.zip à l'adresse suivante : http://batchdhelus.open-web.fr/upload
    Aide en images : http://batchdhelus.open-web.fr/upload/procedure.html

    Si la procédure échoue, veuillez l'envoyer à l'adresse email suivante : yoog.fix.sav@gmail.com

    +--------------[Fin à 18h 47min]
    0
  10. pimprenelle27 Messages postés 22182 Statut Contributeur sécurité 2 503
     
    Bonjour,

    Parfais, refait moi un autre ZHP Diag. merci.

    En téléchargeant la dernière version merci.
    0