"Antivirus software alert" INFECTION Fermé

Question

Bonjour à tous, 

j'ai un soucis avec "Antivirus software alert" ; suite à la désinstallation d'une barre outil celui-ci s'est donc déclaré comme étant "mon" anti-virus; lançant des scans avec des résultats inquiétants vu le nombre d'infections.... et me conseillant bien sûr de souscrire à la solution anti-virale pour la maudique somme de ... bref mon compte en banque en somme.

Je n'ai pas accès à mon antivirus courant ou si j'y accède il ne remarque aucun soucis, je ne peux désinstaller des programmes, ai des difficultés pour en installer d'autres, me bloque toute navigation avec IE, empêche l'utilisation de word et m'ouvre même des fenêtres de site porno...

J'ai suivi quelques topiques où vous portez quelques bon conseils, j'ai ainsi fait des diagnostics tels que conseillés, mais je vous demande un coup de main afin de régler ce problème.

Merci de m'aider!

Je reste à l' écoute et merci d'avance.


Configuration: Windows Vista / Firefox 3.5.7

Utilisateur anonyme · Answer

Bonjour

En mode sans échec avec prise en charge réseau ;faite ceci:

Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's. 

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+

Utilisateur anonyme · Answer

bonjour  
Tu as un rogue dans ton PC, c'est un faux anti-virus  
Il faut éviter de cliquer sur les bannières publicitaires, de faire des téléchargements avec des logiciels P2P  
Les rogues s'installent sans autorisation et effectuent de faux balayages, puis  
affichent de fausses alertes te faisant croire que tu as plein de virus, et pour te  
pousser à acheter une version commerciale  
C'est quels diagnostics que tu as fait ?

eddydub · Answer

SAlut, 
merci d'abord de votre réactivité.
le diagnostic a été fait avec ZHP diag. Par rapport à la manip dites guillaume je commence par le début: comment je démarre en mode sans echec avec vista: F8?? (car là je bug déjà).

Utilisateur anonyme · Answer

Re

Si cela fonctionne en mode normal;reste s'y.
Poste moi le rapport ZFH Diag comme demandé;merci
@+

eddydub · Answer

re,
Voici le lien du rapport que j'avais fais peu avant de demander de l'aide,
En ce qui concerne malwarebite il ne tourne pas en mode normal, je suis arrivé a me mettre en mode sans echec, je lance une analyse complète et revient ensuite.
a+

Utilisateur anonyme · Answer

Re

Il manque le lien ;mais rien de grave ;tu le posteras en même temps que le rapport Malwaresbytes

@+

eddydub · Answer

oups, 


http://www.cijoint.fr/cjlink.php?file=cj201005/cijj7PuEEh.txt

sinon le scan est en cours
A+

eddydub · Answer

voila les résultats du scan:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.18904

02/05/2010 18:19:15
mbam-log-2010-05-02 (18-19-15).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 242306
Temps écoulé: 40 minute(s), 17 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 36
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\coresrv.lfgax (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\coresrv.lfgax.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostie.bho (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostie.bho.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hotbarweather.weathercontroller (Adware.Softomate) -> No action taken.
HKEY_CLASSES_ROOT\hotbarweather.weathercontroller.1 (Adware.Softomate) -> No action taken.
HKEY_CLASSES_ROOT\srv.coreservices (Adware.Softomate) -> No action taken.
HKEY_CLASSES_ROOT\srv.coreservices.1 (Adware.Softomate) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2f9ad413-2e0b-4a85-bb2a-cf961238262a} (Adware.Hotbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> No action taken.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
HKEY_CLASSES_ROOT\hotbarax.info (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\hotbarax.info.1 (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\hotbarax.userprofiles (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\hotbarax.userprofiles.1 (Adware.Hotbar) -> No action taken.
HKEY_CURRENT_USER\Software\hotbarsa (Adware.Hotbar) -> No action taken.
HKEY_CLASSES_ROOT\cntntcntr.cntntdic (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\cntntcntr.cntntdic.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\cntntcntr.cntntdisp (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\cntntcntr.cntntdisp.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\coresrv.coreservices (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\coresrv.coreservices.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbmain.commband (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbmain.commband.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbr.hbmain (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hbr.hbmain.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostol.mailanim (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostol.mailanim.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostol.webmailsend (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT\hostol.webmailsend.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT	oolbar.htmlmenuui (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT	oolbar.htmlmenuui.1 (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT	oolbar.toolbarctl (Adware.Zango) -> No action taken.
HKEY_CLASSES_ROOT	oolbar.toolbarctl.1 (Adware.Zango) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eaujhtji (Rogue.AntivirusSuite.Gen) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> No action taken.
C:\ProgramData\HotbarSA (Adware.Hotbar) -> No action taken.
C:\Users\DUBESSET\AppData\Roaming\WeatherDPA (Adware.Hotbar) -> No action taken.

Fichier(s) infecté(s):
C:\Users\DUBESSET\Local Settings\Application Data\oibkccw_navps.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\DUBESSET\Local Settings\Application Data\oibkccw_nav.dat (Adware.Navipromo.H) -> No action taken.
C:\Users\DUBESSET\Local Settings\Application Data\oibkccw.dat (Adware.Navipromo.H) -> No action taken.
C:\ProgramData\HotbarSA\HotbarSA.dat (Adware.Hotbar) -> No action taken.
C:\ProgramData\HotbarSA\HotbarSAAbout.mht (Adware.Hotbar) -> No action taken.
C:\ProgramData\HotbarSA\HotbarSAau.dat (Adware.Hotbar) -> No action taken.
C:\ProgramData\HotbarSA\HotbarSAEULA.mht (Adware.Hotbar) -> No action taken.
C:\ProgramData\HotbarSA\HotbarSA_kyf.dat (Adware.Hotbar) -> No action taken.
C:\Users\DUBESSET\AppData\Local\qdjsbtaum\heukeyktssd.exe (Rogue.AntivirusSuite.Gen) -> No action taken.

Utilisateur anonyme · Answer

Re

Recommence ;tu n'as rien supprimé ;o(

@+

eddydub · Answer

Voila cette fois je les ai mis en quarantaine et detruit:

Malwarebytes' Anti-Malware 1.46 
www.malwarebytes.org 

Version de la base de données: 4052 

Windows 6.0.6002 Service Pack 2 (Safe Mode) 
Internet Explorer 8.0.6001.18904 

02/05/2010 18:37:26 
mbam-log-2010-05-02 (18-37-26).txt 

Type d'examen: Examen complet (C:\|D:\|) 
Elément(s) analysé(s): 242306 
Temps écoulé: 40 minute(s), 17 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 36 
Valeur(s) du Registre infectée(s): 1 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 3 
Fichier(s) infecté(s): 9 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
HKEY_CLASSES_ROOT\coresrv.lfgax (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\coresrv.lfgax.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hostie.bho (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hostie.bho.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hotbarweather.weathercontroller (Adware.Softomate) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hotbarweather.weathercontroller.1 (Adware.Softomate) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\srv.coreservices (Adware.Softomate) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\srv.coreservices.1 (Adware.Softomate) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\CLSID\{2f9ad413-2e0b-4a85-bb2a-cf961238262a} (Adware.Hotbar) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hotbarax.info (Adware.Hotbar) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hotbarax.info.1 (Adware.Hotbar) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hotbarax.userprofiles (Adware.Hotbar) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hotbarax.userprofiles.1 (Adware.Hotbar) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\Software\hotbarsa (Adware.Hotbar) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\cntntcntr.cntntdic (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\cntntcntr.cntntdic.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\cntntcntr.cntntdisp (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\cntntcntr.cntntdisp.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\coresrv.coreservices (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\coresrv.coreservices.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hbmain.commband (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hbmain.commband.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hbr.hbmain (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hbr.hbmain.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hostol.mailanim (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hostol.mailanim.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hostol.webmailsend (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT\hostol.webmailsend.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT	oolbar.htmlmenuui (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT	oolbar.htmlmenuui.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT	oolbar.toolbarctl (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CLASSES_ROOT	oolbar.toolbarctl.1 (Adware.Zango) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully. 
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. 

Valeur(s) du Registre infectée(s): 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\eaujhtji (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully. 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> Quarantined and deleted successfully. 
C:\ProgramData\HotbarSA (Adware.Hotbar) -> Quarantined and deleted successfully. 
C:\Users\DUBESSET\AppData\Roaming\WeatherDPA (Adware.Hotbar) -> Quarantined and deleted successfully. 

Fichier(s) infecté(s): 
C:\Users\DUBESSET\Local Settings\Application Data\oibkccw_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. 
C:\Users\DUBESSET\Local Settings\Application Data\oibkccw_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. 
C:\Users\DUBESSET\Local Settings\Application Data\oibkccw.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully. 
C:\ProgramData\HotbarSA\HotbarSA.dat (Adware.Hotbar) -> Quarantined and deleted successfully. 
C:\ProgramData\HotbarSA\HotbarSAAbout.mht (Adware.Hotbar) -> Quarantined and deleted successfully. 
C:\ProgramData\HotbarSA\HotbarSAau.dat (Adware.Hotbar) -> Quarantined and deleted successfully. 
C:\ProgramData\HotbarSA\HotbarSAEULA.mht (Adware.Hotbar) -> Quarantined and deleted successfully. 
C:\ProgramData\HotbarSA\HotbarSA_kyf.dat (Adware.Hotbar) -> Quarantined and deleted successfully. 
C:\Users\DUBESSET\AppData\Local\qdjsbtaum\heukeyktssd.exe (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Re    

Un autre outil;    

DÉSACTIVE TON ANTIVIRUS ET TON PARE FEU SI PRÉSENTS !!!!!    

(Car ils sont détectés a tort comme infection)     
 Télécharge List_Kill'em et enregistre le sur ton bureau     
Ici:Télécharge List_Killem ici :   

http://sd-1.archive-host.com/...

double clique ( clic droit "exécuter en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation     

coche la case "créer une icône sur le bureau"     

une fois terminée , clic sur "terminer" et le programme se lancera seul     

choisis la langue puis choisis l'option 1 = Mode Recherche     

 laisse travailler l'outil     

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.     

Un rapport du nom de catchme apparaît sur ton bureau, ignore-le, ne le poste pas , , il s'auto supprimera a la fin du scan     

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"    




On a tous été un jour débutant dans quelque chose.    
Mais le savoir est la récompense de l'assiduité.

eddydub · Answer

Re salut,
voila le resultat du scan que j'ai fait avec kill'em, par ailleurs je pense bien avoir desactiver l'antivirus et le pare feu, voici:


HKLM\SYSTEM\CCS\Services\Tcpip\..\{9A0BE692-9CB6-4545-B107-06816C9B04AE}: DhcpNameServer=192.168.1.1 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B583DD8E-37C3-4E8B-A752-1DC95FEB14B2}: DhcpNameServer=192.168.1.254 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9A0BE692-9CB6-4545-B107-06816C9B04AE}: DhcpNameServer=192.168.1.1 
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B583DD8E-37C3-4E8B-A752-1DC95FEB14B2}: DhcpNameServer=192.168.1.254 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9A0BE692-9CB6-4545-B107-06816C9B04AE}: DhcpNameServer=192.168.1.1 
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B583DD8E-37C3-4E8B-A752-1DC95FEB14B2}: DhcpNameServer=192.168.1.254 
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254 
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254 
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254 

================
Internet Explorer :
================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	http://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vp32&d=0908&m=aspire_7730zg
Local Page	REG_SZ         	C:\Windows\System32\blank.htm
Default_Search_URL	REG_SZ         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	REG_SZ         	https://fr.yahoo.com/
Search Page	REG_SZ         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.fr/?gws_rd=ssl
Local Page	REG_SZ         	C:\Windows\system32\blank.htm
Search Page	REG_SZ         	http://go.microsoft.com/fwlink/?LinkId=54896

========
Services
========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 

Ndisuio : 0x3 ( OK = 3 )
EapHost : 0x3 ( OK = 2 )
Wlansvc : 0x2 ( OK = 2 )
SharedAccess : 0x4 ( OK = 2 )
windefend : 0x2 ( OK = 2 )
wuauserv : 0x2 ( OK = 2 )
wscsvc : 0x2 ( OK = 2 )

========
Safemode
========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot : OK !!  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal : OK !!  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network : OK !!  
 
=========
Atapi.sys
=========

C:\Windows\System32\drivers\atapi.sys : 
 MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4]
SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]
 
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys : 
 MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4]
SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]
 
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys : 
 MD5 :: [4f4fcb8b6ea06784fb6d475b7ec7300f]
SHA256 :: [6202d85c9a75e3f01f5f94f069c4cd8a2b9295a182301eae5940ec3bc2c1d896]
 
C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys : 
 MD5 :: [2d9c903dc76a66813d350a562de40ed9]
SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]
 
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys : 
 MD5 :: [2d9c903dc76a66813d350a562de40ed9]
SHA256 :: [82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3]
 
C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys : 
 MD5 :: [1f05b78ab91c9075565a9d8a4b880bc4]
SHA256 :: [737be9f9376dab0ccdfed93ea6d67f0c432367ea63cd772a453485be769af3bd]
 
Référence :
==========

Win 2000_SP2   : ff953a8f08ca3f822127654375786bbe
Win 2000_SP4   : 8c718aa8c77041b3285d55a0ce980867
Win XP_32b     : a64013e98426e1877cb653685c5c0009
Win XP_SP2_32b : CDFE4411A69C224BD1D11B2DA92DAC51
Win XP_SP3_32b : 9F3A2F5AA6875C72BF062C712CFA2674
Vista_32b      : e03e8c99d15d0381e02743c36afc7c6f
Vista_SP1_32b  : 2d9c903dc76a66813d350a562de40ed9
Vista_SP2_32b  : 1F05B78AB91C9075565A9D8A4B880BC4
Vista_SP2_64b  : 1898FAE8E07D97F2F6C2D5326C633FAC
Windows 7_32b  : 80C40F7FDFC376E4C5FEEC28B41C119E
Windows 7_64b  : 02062C0B390B7729EDC9E69C680A6F3C
Windows 7_32b_Ultimate : 338c86357871c167a96ab976519bf59e
 
=======
Drive :
=======


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Present !! : C:\ProgramData\hpzinstall.log  
Present !! : C:\ProgramData
vModes.001  
Present !! : C:\ProgramData
vModes.dat  
Present !! : C:\ProgramData\hpzinstall.log  
Present !! : C:\ProgramData
vModes.001  
Present !! : C:\ProgramData
vModes.dat  
Present !! : C:\ProgramData\hpzinstall.log  
Present !! : C:\ProgramData
vModes.001  
Present !! : C:\ProgramData
vModes.dat  
Present !! : C:\ProgramData\hpzinstall.log  
Present !! : C:\ProgramData
vModes.001  
Present !! : C:\ProgramData
vModes.dat  
Present !! : C:\Windows\DUMP38da.tmp  
Present !! : C:\Windows\System32\ACER.exe 
Present !! : C:\Windows\System32\autorun.* 
Present !! : C:\Windows\System32
agasoft 
Present !! : C:\Users\DUBESSET\AppData\Local\wetclc.bat  
Present !! : C:\Users\DUBESSET\AppData\Local\d3d9caps.dat  
Present !! : C:\Users\DUBESSET\AppData\Roaming\.#  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\RtkBtMnt.exe  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\VJdc.exe  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\XOGv.exe  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[0].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[10].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[11].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[12].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[13].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[14].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[15].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[16].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[17].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[18].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[19].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[1].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[20].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[21].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[22].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[23].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[24].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[25].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[26].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[27].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[2].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[3].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[4].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[5].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[6].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[7].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[8].dll  
Present !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[9].dll  
 
¤¤¤¤¤¤¤¤¤¤ Keys : 

Present !! : HKCR\Install.Install  
Present !! : HKCR\Install.Install\CLSID  
Present !! : HKCR\Install.Install\CurVer  
Present !! : HKCR\Install.Install.1  
Present !! : HKCR\Install.Install.1\CLSID  
Present !! : HKCU\Software\AppDataLow\Software\Hotbar  
Present !! : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  
Present !! : HKLM\software\Live-Player  

============

driver loading error catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-02 23:29:46
Windows 6.0.6002 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR 
kernel: error reading MBR 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	REG_DWORD      	1 (0x1) 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

End of scan : 23:29:47,62 


merci

Utilisateur anonyme · Answer

Bonjour

1)Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 

Mais cette fois-ci : 

choisis  l'option 2 = Mode Suppression  

ton PC va redémarrer, 

laisse travailler l'outil. 

En fin de scan la fenêtre se ferme, et tu as un rapport du nom de Kill'em.txt sur ton bureau, 

 colle le contenu dans ta réponse


2)Poste un nouveau ZHP Diag .


Poste les rapports au fur et à mesure;merci
@+

eddydub · Answer

Bonjour,
voici le compte rendu de scan de supression avec kill'em:


Kill'em by g3n-h@ckm@n 1.7.2.6 
 
User : DUBESSET (Administrateurs) 
Update on 02/05/2010 by g3n-h@ckm@n ::::: 14.30
Start at: 07:30:34 | 03/05/2010

Intel(R) Pentium(R) Dual  CPU  T3200  @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 69,52 Go (15,82 Go free) [ACER] | NTFS
D:\ -> Disque fixe local | 69,52 Go (69,43 Go free) [DATA] | NTFS
E:\ -> Disque CD-ROM
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32
vvsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\LogonUI.exe
C:\Windows\system32undll32.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
C:\Program Files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\System32\svchost.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32unonce.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\ProgramData\hpzinstall.log 
Quarantined & Deleted !! : C:\ProgramData
vModes.001 
Quarantined & Deleted !! : C:\ProgramData
vModes.dat 
Quarantined & Deleted !! : C:\Windows\DUMP38da.tmp 
 
Quarantined & Deleted !! : C:\Windows\System32\ACER.exe 
Quarantined & Deleted !! : C:\Windows\System32\autorun.inf 
Quarantined & Deleted !! : C:\Windows\System32
agasoft 
Quarantined & Deleted !! : C:\Windows\Temp\is7B10.tmp 
Quarantined & Deleted !! : C:\Windows\Temp\isFD77.tmp 
Quarantined & Deleted !! : C:\Users\DUBESSET\AppData\Local\wetclc.bat 
Quarantined & Deleted !! : C:\Users\DUBESSET\AppData\Local\d3d9caps.dat 
Quarantined & Deleted !! : C:\Users\DUBESSET\AppData\Roaming\.# 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\RtkBtMnt.exe 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\VJdc.exe 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\XOGv.exe 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[0].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[10].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[11].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[12].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[13].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[14].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[15].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[16].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[17].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[18].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[19].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[1].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[20].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[21].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[22].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[23].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[24].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[25].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[26].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[27].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[28].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[2].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[3].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[4].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[5].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[6].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[7].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[8].dll 
Quarantined & Deleted !! : C:\Users\DUBESSET\LOCAL Settings\Temp\LiveRSS[9].dll 
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I09S6U0.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I0BYQ5F.fr   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I2AV8FQ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I2BLLZQ.docx   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I2EVKK7.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I31XQVG.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I38GOVA   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I4WZX58.rar   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I4YA79I   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I51248P.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I5KGINW.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I5VCBQA.uccapilog   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I737KF3.jpg   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I7774NJ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I798P17.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I7US7S8.iso   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I8DD4SI   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I969WPE.url   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I9E5SK1.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$I9XUPTR.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IA24KKY.iso   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IABG18U.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IATBV48.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IAVYING.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IB4TTA6.iso   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IB90JY9.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IBDYMW3.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IBJPQGY.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IC6LV1Y.jpg   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IC7KHQ1.doc   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$ICPOG12.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IDK1BNM.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IDN17K3.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IDWMWK4.docx   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IERSH08.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IEUP6JS.rar   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IF0R29T.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IF3DGTS.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IF7BD4F.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IFIEAZZ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IFLPTUX   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IGM338E.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IHW3R9L.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IHX500E.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$II0X3JR.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IIAGSQ7.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IIKLANK.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IIMLLAJ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IIRT2PH.txt   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IJI0FTM.doc   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IJJFQFW.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IJOGVQR   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IK8UH98   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IKI99YW   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IM0SQ0S.url   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IMMWNR2.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$INAPOQM.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$INFPEXI   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IOAKEBZ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IOPCSM1   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IOR74DF   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IP14NM7.doc   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IPA70OG.uccapilog   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IPOTOG9.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IQPG359.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IQYS8F7.exe   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IR1L9P2.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IT0IME5.doc   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$ITKJR9H   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IUL79LP.doc   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IUQLCOD.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IVL2QEC.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IVYA7FU.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IWBBT4X.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IXKE0KR.url   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IXUJPBQ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IYWEOA2   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IZ17UWP.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IZOGBA1.docx   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$IZX83DQ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R09S6U0.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R2AV8FQ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R2EVKK7.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R31XQVG.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R4WZX58.rar   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R51248P.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R5KGINW.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R5VCBQA.uccapilog   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R737KF3.jpg   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R7774NJ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R798P17.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R7US7S8.iso   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R969WPE.url   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R9E5SK1.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$R9XUPTR.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RA24KKY.iso   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RABG18U.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RATBV48.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RAVYING.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RB4TTA6.iso   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RB90JY9.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RBDYMW3.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RBJPQGY.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RC6LV1Y.jpg   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RCPOG12.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RDK1BNM.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RDN17K3.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RERSH08.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$REUP6JS.rar   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RF0R29T.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RF3DGTS.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RF7BD4F.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RFIEAZZ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RGM338E.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RHW3R9L.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RHX500E.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RI0X3JR.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RIAGSQ7.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RIKLANK.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RIMLLAJ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RIRT2PH.txt   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RJJFQFW.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RM0SQ0S.url   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RMMWNR2.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RNAPOQM.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$ROAKEBZ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RPA70OG.uccapilog   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RPOTOG9.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RQPG359.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RQYS8F7.exe   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RR1L9P2.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RUQLCOD.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RVL2QEC.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RVYA7FU.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RWBBT4X.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RXKE0KR.url   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RXUJPBQ.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RZ17UWP.JPG   
Deleted !! : C:\$Recycle.bin\S-1-5-21-4237769219-3542789808-3959501284-1000\$RZX83DQ.JPG   
 
=======
Hosts :
=======

127.0.0.1       localhost   

========
Registry
========

Deleted : HKCR\Install.Install  
Deleted : HKCR\Install.Install.1  
Deleted : HKCU\Software\AppDataLow\Software\Hotbar  
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  
Deleted : HKLM\software\Live-Player  
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	REG_DWORD      	1 (0x1) 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
 
========
Services
=========

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

eddydub · Answer

j'arrive pas à poster le compte rensu de ZHDdiag, je m'y pencherai plus tard.
je vous remercie
bonne journée @+

eddydub · Answer

Bonsoir guillaume, 

je retente d'inserer le diag de ce matin

comme le copier coller ne fonctionne pas (je pense que cela est du a la taille), je le glisse dans ce lien:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijO0K4sYl.txt

merci de ton aide

Utilisateur anonyme · Answer

Bonsoir

1)Supprime le proxy dans Internet Explorer:
Comment faire:
Onglet outils dans IE;options internet;onglet connexion;bouton paramètres reseau;décocher la case"utiliser un proxy" et appuyer sur Ok ensuite "appliquer"

2)Comment se comporte ton PC?

Ce n'est pas fini...

@+

eddydub · Answer

Bonsoir,
alors après la manip, plusieurs constats: je peux naviguer avec IE, utiliser CC cleaner et ait pu utiliser avast pour faire un scan, et jusqu'à présent pas d'ouverture intempestive de pages XXX. 
Pour l'histoire, le scan avast a révélé 2 fichiers infectés... je posterai un rapport.

Le pc me semble donc fonctionner sans le problème qui était encontré, en revanche tu suggères que tout n'est pas fini (?)... y a t il d'autres chose à vérifier?

Merci
A+

Utilisateur anonyme · Answer

Bonsoir

1) Particularités si tu as Windows Vista
 : 
 
Toujours lancer Navilog1 via clic droit "exécuter en tant qu'administrateur"

Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

Enregistrer la cible (du lien) sous... et enregistre-le sur ton bureau. 
Ensuite double clique sur navilog1.exe pour lancer l'installation. 
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau. 

Laisse-toi guider. Appuie sur une touche quand on te le demande. 
Au menu principal, choisis  1 et valide. 

 < Ne fais pas le choix 2  >


Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandée ; le bloc-notes va s'ouvrir. 
Copie colle l'intégralité dans ta réponse. Referme le bloc-notes. 

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt


2)Pour java utilises javaRa https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara    

 et un autre tutoriel javaRa http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-cliques ou clic droit sous Vista  sur le répertoire JavaRa. 
* Puis double-cliques sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis cliques sur Select. 
* Cliques sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorises le processus à se connecter s'il le demande, cliques sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et cliques sur Effacer les anciennes versions. 
* Cliques sur Oui pour confirmer. Laisses travailler et cliques ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Postes-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.


3)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.

@+

eddydub · Answer

Fix Navipromo version 4.0.8 commencé le 06/05/2010 21:31:37,77

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:
avilog1

Mise à jour le 09.03.2010 à 18h00 par IL-MAFIOSO

Microsoft® Windows Vista(TM) Édition Familiale Premium  ( v6.0.6002 ) Service Pack 2
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) Dual  CPU  T3200  @ 2.00GHz )
BIOS : ZY2 v0.3509 3E09
USER : DUBESSET ( Administrator )
BOOT : Normal boot




C:\ (Local Disk) - NTFS - Total:69 Go (Free:21 Go)
D:\ (Local Disk) - NTFS - Total:69 Go (Free:69 Go)
E:\ (CD or DVD)


Recherche executée en mode normal 

Nettoyage exécuté au redémarrage de l'ordinateur


c:\users\dubesset\appdata\local\virtua~1\progra~1\Live-Player supprimé !


Nettoyage contenu C:\Windows\Temp effectué !
Nettoyage contenu C:\Users\DUBESSET\AppData\Local\Temp effectué !


*** Sauvegarde du Registre vers dossier Safebackup ***

sauvegarde du Registre réalisée avec succès !

*** Nettoyage Registre ***

Nettoyage Registre Ok




*** Scan terminé 06/05/2010 21:36:40,93 ***

eddydub · Answer

Salut bonsoir,

Voila j'ai fait les manip, le scan ci dessus réalisé avec Navilog,
En ce qui concerne java, je l'ai mis a jour, j'ai aussi fait la manip pour supprimer les anciennes versions, or je ne retrouve pas le rapport de JavaRa.
J'ai ensuite scanné avec secunia puis mis à jour adobe  reader, adobe flash player...

Merci pour les conseils.

"Antivirus software alert" INFECTION

21 réponses

Discussions similaires