Cherche.us

Résolu
Petitemado -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

Je me suis chopé un truc chiant en me balladant sur internet... J'ai cru comprendre qu'on le choppait sur chat land (j'ai du tomber dessus en cherchant autre chose mais ca à suffit à mettre la zizani dans ma page de démarage!)

A début je remettait google avec outils/option internet... Mais une fois il m'a indiqué que je tentai de modifier la page (sans blague) et m'a demandé s j'étais d'accord!! J'ai dit oui (évidement!) et depuis même en allant dans outils je ne peu plus remettre google comme page de démarage.

J'ai déjà essayé de modifier les registres en suivant les conseils d'un post mais sans résultat!! Je commence à saturé de ce logiciel à la c**

Si quelqu'un pouvait me prendre par lam ain pour me guider dans une tentative de restauration de mes paramètres d'origine ce serait super car la je vais craquer!!! ;)
Merci!

17 réponses

Résumé de la discussion

Une infection de navigateur est décrite après avoir visité un site douteux, qui a modifié la page d'accueil et empêché le rétablissement sous Windows XP et Internet Explorer 7. Des solutions proposées privilégient des outils de nettoyage comme ComboFix, ZHPDiag et ZHPFix, associant vérifications de registre et suppression de composants indésirables pour restaurer les paramètres. D'autres réponses recommandent d'utiliser MBAM (Malwarebytes) et des étapes plus larges comme le contrôle du MBR, la désactivation temporaire de protections et l'analyse avec AD-Remover ou des outils similaires. En cas de persistance, les interventions incluent la déconnexion du réseau et l'examen des rapports générés par les outils pour guider une purge complète et sécurisée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour

    /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    Pour Windows 7: https://www.androidworld.fr/

    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
    - Clique sur [gras>TÉLÉCHARGER</gras> et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Smart
    0
    1. petitemado
       
      Je suis sous XP... ;)
      Peux tu me confirmer que la manip fonctionne donc aussi sous XP...
      0
    2. Petitemado
       
      .
      ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
      .
      Mis à jour par C_XX le 19/05/10 à 19:20
      Contact: AdRemover.contact@gmail.com
      Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
      .
      Lancé à: 21:26:16 le 28/05/2010 | Mode normal | Option: CLEAN
      Exécuté de: C:\Ad-Remover\ADR.exe
      SE: Microsoft Windows XP Professionnel (Service Pack 3 - X86)
      Nom du PC: MADO
      Utilisateur actuel: Madeleine
      .
      ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
      .
      .

      (!) -- Fichiers temporaires supprimés.
      .
      .
      .
      ============== SCAN ADDITIONNEL ==============
      .
      .
      * Internet Explorer Version 8.0.6001.18702 *
      .
      [HKCU\Software\Microsoft\Internet Explorer\Main]
      .
      AutoHide: yes
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Do404Search: 0x01000000
      Enable Browser Extensions: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
      Show_ToolBar: yes
      Start Page: hxxp://fr.msn.com/
      .
      [HKLM\Software\Microsoft\Internet Explorer\Main]
      .
      Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Delete_Temp_Files_On_Exit: yes
      Local Page: C:\WINDOWS\system32\blank.htm
      Search bar: hxxp://search.msn.com/spbasic.htm
      Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      Start Page: hxxp://fr.msn.com/
      .
      [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
      .
      Tabs: res://ieframe.dll/tabswelcome.htm
      Blank: res://mshtml.dll/blank.htm
      .
      ========================================
      .
      C:\Ad-Remover\Quarantine: 4 Fichier(s)
      C:\Ad-Remover\Backup: 12 Fichier(s)
      .
      C:\Ad-Report-CLEAN[1].txt - 5991 Octet(s)
      C:\Ad-Report-CLEAN[2].txt - 1853 Octet(s)
      .
      Fin à: 21:32:14, 28/05/2010
      .
      ============== E.O.F - CLEAN[2] ==============
      0
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. On a bien avancé

    /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    Pour Windows 7: https://www.androidworld.fr/

    - Télécharge Malwarebytes
    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Smart
    0
    1. Petitemado
       
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Version de la base de données: 4154

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      30/05/2010 18:09:36
      mbam-log-2010-05-30 (18-09-36).txt

      Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
      Elément(s) analysé(s): 209590
      Temps écoulé: 1 heure(s), 14 minute(s), 19 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 19
      Valeur(s) du Registre infectée(s): 2
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\shoppingreport2.hbax (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\shoppingreport2.hbax.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\shoppingreport2.hbinfoband (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\shoppingreport2.hbinfoband.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\shoppingreport2.iebutton (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\shoppingreport2.iebutton.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\shoppingreport2.iebuttona (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\shoppingreport2.iebuttona.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\shoppingreport2.rprtctrl (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\shoppingreport2.rprtctrl.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{258c9770-1713-4021-8d7e-1f184a2bd754} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{258c9770-1713-4021-8d7e-1f184a2bd754} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{db38e21a-0133-419d-92ad-ecdfd5244d6d} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{eb620c54-e229-4942-87ce-e717109fc8c6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{db38e21a-0133-419d-92ad-ecdfd5244d6d} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{eb620c54-e229-4942-87ce-e717109fc8c6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\Software\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{db38e21a-0133-419d-92ad-ecdfd5244d6d} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{eb620c54-e229-4942-87ce-e717109fc8c6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Madeleine\Local Settings\Application Data\av.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\System Volume Information\_restore{5A53501F-4223-4AFD-916B-19F5448140CE}\RP594\A0176533.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      0
    2. Petitemado
       
      du coup j'ai aussi supprimé tous les fichiers infécté de la quarantaine! ;)
      Mon problème semble résolu (j'ai de nouveau accès à la bonne page de démarage (depuis la 1ere manip)) mais s'il y a encore des "risque" d'infection quelconque, je suis prète à aller plus loins si nécessaire!!
      0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu as bien fait de vider la quarantaine de MBAM.
    On va vérifier si il y a encore des infections

    Télécharge ZHPDiag sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
    1. Petitemado
       
      Voila : Petitemado
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijdnAKz55.txt
      0
  4. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu es encore bien infecté. Et surtout tu n'as plus beaucoup de place disponible sur on disque système C:. Il faut soit que tu sauvegardes des données sur un dique externe et/ou désinstaller les programmes inutiles ou que tu ne te sers plus.

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes et place les dans ZHPFix :

    ----------------------------------------------------------
    MBRFix
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
    O42 - Logiciel: ShopperReports - (.ShopperReports.) [HKLM]


    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    0
    1. Petitemado
       
      ZHPFix v1.12.3102 by Nicolas Coolman - Rapport de suppression du 31/05/2010 21:35:50
      Fichier d'export Registre : C:\ZHPExportRegistry-31-05-2010-21-35-50.txt
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      O42 - Logiciel: ShopperReports - (.ShopperReports.) [HKLM] => Clé supprimée avec succès

      Valeur du Registre :
      [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Valeur absente

      Elément de données du Registre :
      (Néant)

      Préférences navigateur :
      (Néant)

      Dossier :
      (Néant)

      Fichier :
      (Néant)

      Logiciel :
      O42 - Logiciel: ShopperReports - (.ShopperReports.) [HKLM] => Logiciel supprimé avec succès

      Script Registre :
      (Néant)

      Master Boot Record :
      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntoskrnl.exe >>UNKNOWN [0x873DBEB0]<<
      kernel: MBR read successfully
      detected MBR rootkit hooks:
      \Driver\Disk -> 0x873dbeb0
      Warning: possible MBR rootkit infection !
      user & kernel MBR OK
      Use "Recovery Console" command "fixmbr" to clear infection !

      Resultat après le fix :
      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      kernel: MBR read successfully
      user & kernel MBR OK

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 1
      Valeur du Registre : 1
      Elément de données du Registre : 0
      Dossier : 0
      Fichier : 0
      Logiciel : 1
      Master Boot Record : 19
      Préférences navigateur : 0
      Autre : 0


      End of the scan
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. On a bien avancé. Refais un rapport ZHPDiag

    Smart
    0
    1. Petitemado
       
      Sorry... voici le bon lien... http://www.cijoint.fr/cjlink.php?file=cj201005/cijf2p5cYI.txt
      Celui d'avant est l'ancien rapport!
      0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Je vois toujour une infection mais elle peux venir d'un logiciel légitime que tu as installé. Pour vérifier on va faire cela:

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    Ensuite tu refais un ZHPDiag et tu postes le rapport

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. Petitemado
       
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijGxWkfOq.txt

      Voici le rapport, je réactive mon émulateur!
      0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    En en effet HPDiag voyais l'émulateur de CD comme un rootKit. C'était donc un faux positif.
    Mais il reste deux choses
    Redésactive l'émulateur.
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes et place les dans ZHPFix :

    ----------------------------------------------------------
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified

    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. Petitemado
       
      ZHPFix v1.12.3102 by Nicolas Coolman - Rapport de suppression du 01/06/2010 20:03:51
      Fichier d'export Registre : C:\ZHPExportRegistry-01-06-2010-20-03-51.txt
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      (Néant)

      Valeur du Registre :
      [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Valeur absente

      Elément de données du Registre :
      (Néant)

      Préférences navigateur :
      (Néant)

      Dossier :
      (Néant)

      Fichier :
      (Néant)

      Logiciel :
      (Néant)

      Script Registre :
      (Néant)

      Master Boot Record :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 0
      Valeur du Registre : 1
      Elément de données du Registre : 0
      Dossier : 0
      Fichier : 0
      Logiciel : 0
      Master Boot Record : 0
      Préférences navigateur : 0
      Autre : 0


      End of the scan
      0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    J'ai toujours les lignes présentes. Mais on va faire autre chose:

    Télécharge FindyKill (créé par El Desaparecido) et enregistre-le sur ton bureau

    - tutoriel recherche
    - /!\ Ne fais pas le nettoyage tout dessuite /!\
    - Double-clique sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement
    - Au menu principal,choisis l'option 1 (Recherche)
    - Poste le rapport FindyKill.txt

    * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque: c:\Findykill.txt

    Smart
    0
    1. PETITEMADO
       
      ############################## | FindyKill V5.043 |

      # User : Madeleine (Administrateurs) # MADO
      # Update on 12/05/2010 by El Desaparecido
      # Start at: 00:38:15 | 03/06/2010
      # Website : http://pagesperso-orange.fr/NosTools/index.html
      # Contact : FindyKill.Contact@gmail.com

      # Genuine Intel(R) CPU T2400 @ 1.83GHz
      # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 8.0.6001.18702
      # Windows Firewall Status : Enabled
      # AV : Symantec AntiVirus Corporate Edition 10.0.1.1000 [ Enabled | Updated ]

      # C:\ # Disque fixe local # 27,35 Go (5 Go free) [Systeme] # NTFS
      # D:\ # Disque fixe local # 65,8 Go (17,09 Go free) [Donnees] # NTFS
      # E:\ # Disque CD-ROM

      ################## | Eléments infectieux |

      C:\Documents and Settings\Madeleine\Local Settings\Temporary Internet Files\Content.IE5\TOFJJ8FM\B64AD696451FD4C663CC63672E7B10[1].jpg

      ################## | Registre |

      [HKCR\ed2k]
      [HKCU\Software\Classes\ed2k]

      ################## | Etat |

      # Affichage des fichiers cachés : OK

      # Mode sans echec : OK

      # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
      # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
      # Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
      # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
      # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
      # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

      ################## | ! Fin du rapport # FindyKill V5.043 ! |
      0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire la Suppression:

    - tutoriel nettoyage
    - Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
    - Double clic sur le raccourci FindyKill sur ton bureau
    - Au menu principal, choisis l'option 2 (Suppression)

    /!\ il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué"

    /!\ Ne te sert pas du pc durant la suppression, ton bureau ne sera pas accessible c'est normal

    - Ensuite poste le rapport FindyKill.txt
    - FindyKill te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
    - Ce dossier a été créé par FindyKill et est enregistré sur ton bureau.
    - Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de FindyKill dans ses recherches.
    - Il faut sélectionner "FindyKill" dans le menu déroulant
    - Merci d'avance pour ta contribution

    * Note : le rapport FindyKill.txt est sauvegardé à la racine du disque
    * Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

    Smart
    0
    1. Petitemado
       
      ############################## | FindyKill V5.043 |

      # User : Madeleine (Administrateurs) # MADO
      # Update on 12/05/2010 by El Desaparecido
      # Start at: 09:11:52 | 03/06/2010
      # Website : http://pagesperso-orange.fr/NosTools/index.html
      # Contact : FindyKill.Contact@gmail.com

      # Genuine Intel(R) CPU T2400 @ 1.83GHz
      # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 8.0.6001.18702
      # Windows Firewall Status : Enabled
      # AV : Symantec AntiVirus Corporate Edition 10.0.1.1000 [ Enabled | Updated ]

      # C:\ # Disque fixe local # 27,35 Go (4,99 Go free) [Systeme] # NTFS
      # D:\ # Disque fixe local # 65,8 Go (17,09 Go free) [Donnees] # NTFS
      # E:\ # Disque CD-ROM

      ################## | Eléments infectieux |

      Supprimé ! C:\Documents and Settings\Madeleine\Local Settings\Temporary Internet Files\Content.IE5\TOFJJ8FM\B64AD696451FD4C663CC63672E7B10[1].jpg

      ################## | MD5 ... |


      ################## | CRC32 ... |


      ################## | Registre |

      Supprimé ! [HKCR\ed2k]

      ################## | Etat |

      # Mode sans echec : OK


      # Affichage des fichiers cachés : OK

      # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
      # EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
      # Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
      # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
      # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
      # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

      ################## | Fichiers corrompus |

      ... OK !

      ################## | Upload |
      0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Est-ce que tu peux refaire un ZHPDiag

    Smart
    0
    1. Petitemado
       
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijqrXeCg1.txt
      0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Toujour là.

    Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil
    Imprime la procédure


    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    - /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
    - Double-clique sur ComboFix.exe
    - Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
    - Surtout, accepte d'installer la console de récupération

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    Smart
    0
    1. Petitemado
       
      ComboFix 10-06-03.01 - Madeleine 04/06/2010 0:27.1.2 - x86
      Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.396 [GMT 2:00]
      Lancé depuis: c:\documents and settings\Madeleine\Bureau\ComboFix.exe
      AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
      .

      ((((((((((((((((((((((((((((( Fichiers créés du 2010-05-03 au 2010-06-03 ))))))))))))))))))))))))))))))))))))
      .

      2010-06-03 07:26 . 2010-06-03 07:26 879 ----a-w- C:\FindyKill_Upload_Me_MADO.zip
      2010-06-02 22:37 . 2010-06-03 17:29 -------- d-----w- C:\FyK
      2010-05-31 07:02 . 2010-06-03 19:11 -------- d-----w- c:\program files\ZHPDiag
      2010-05-29 17:47 . 2010-05-29 17:47 -------- d-----w- c:\documents and settings\Madeleine\Application Data\Malwarebytes
      2010-05-29 17:47 . 2010-05-29 17:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
      2010-05-29 17:47 . 2010-06-03 17:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2010-05-28 22:37 . 2010-05-28 22:37 503808 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4b09a6a6-n\msvcp71.dll
      2010-05-28 22:37 . 2010-05-28 22:37 499712 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4b09a6a6-n\jmc.dll
      2010-05-28 22:37 . 2010-05-28 22:37 348160 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4b09a6a6-n\msvcr71.dll
      2010-05-28 22:37 . 2010-05-28 22:37 61440 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-336a733d-n\decora-sse.dll
      2010-05-28 22:37 . 2010-05-28 22:37 12800 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-336a733d-n\decora-d3d.dll
      2010-05-12 16:00 . 2010-05-23 20:27 -------- d-----w- c:\program files\Norton Security Scan
      2010-05-11 11:45 . 2010-06-03 20:11 -------- d-----w- c:\documents and settings\Madeleine\Application Data\vlc

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-06-03 22:21 . 2010-02-25 08:40 -------- dc-h--w- c:\documents and settings\All Users\Application Data\~0
      2010-06-03 22:21 . 2007-03-23 01:57 -------- d-----w- c:\program files\Lavasoft
      2010-06-03 22:21 . 2010-02-13 17:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
      2010-06-03 22:19 . 2007-03-22 17:37 -------- d-----w- c:\program files\Symantec AntiVirus
      2010-06-03 19:59 . 2009-10-28 08:17 -------- d-----w- c:\program files\Microsoft Silverlight
      2010-05-28 22:37 . 2010-04-30 22:37 664 ----a-w- c:\windows\system32\d3d9caps.dat
      2010-05-28 19:40 . 2007-10-19 14:19 -------- d-----w- c:\program files\DivX
      2010-05-23 20:29 . 2007-04-04 10:51 -------- d-----w- c:\program files\Google
      2010-05-23 20:28 . 2007-04-25 20:29 -------- d-----w- c:\program files\EPSON
      2010-05-23 20:27 . 2009-12-10 18:56 -------- d-----w- c:\program files\Canon
      2010-05-23 20:27 . 2007-06-02 09:32 -------- d-----w- c:\program files\eMule
      2010-05-23 20:27 . 2009-11-21 12:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
      2010-05-23 18:50 . 2010-05-23 18:29 64 ----a-w- c:\documents and settings\Madeleine\errorlog.tmp
      2010-05-23 18:01 . 2008-03-04 11:23 -------- d-----w- c:\documents and settings\Madeleine\Application Data\Corel
      2010-05-23 17:58 . 2008-03-04 11:23 952 --sha-w- c:\windows\system32\KGyGaAvL.sys
      2010-05-16 22:35 . 2008-03-02 18:12 -------- d-----w- c:\documents and settings\Madeleine\Application Data\uTorrent
      2010-05-15 13:13 . 2008-03-02 18:12 -------- d-----w- c:\program files\uTorrent
      2010-05-14 01:03 . 2007-03-22 17:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
      2010-05-12 22:03 . 2009-08-05 14:42 -------- d-----w- c:\documents and settings\Madeleine\Application Data\dvdcss
      2010-05-12 16:00 . 2009-11-21 12:46 -------- d-----w- c:\documents and settings\All Users\Application Data\NortonInstaller
      2010-05-11 10:15 . 2009-12-10 19:07 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM
      2010-05-10 17:34 . 2009-12-21 10:48 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJ
      2010-04-25 16:37 . 2010-04-25 16:37 -------- d-----w- c:\program files\Fichiers communs\Java
      2010-04-25 16:37 . 2010-04-25 16:37 503808 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4664d58d-n\msvcp71.dll
      2010-04-25 16:37 . 2010-04-25 16:37 499712 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4664d58d-n\jmc.dll
      2010-04-25 16:37 . 2010-04-25 16:37 348160 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4664d58d-n\msvcr71.dll
      2010-04-25 16:36 . 2010-04-25 16:36 61440 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6a69fbc0-n\decora-sse.dll
      2010-04-25 16:36 . 2010-04-25 16:36 12800 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6a69fbc0-n\decora-d3d.dll
      2010-04-25 16:36 . 2007-08-03 18:23 -------- d-----w- c:\program files\Java
      2010-04-25 16:35 . 2002-09-06 23:00 85842 ----a-w- c:\windows\system32\perfc00C.dat
      2010-04-25 16:35 . 2002-09-06 23:00 513736 ----a-w- c:\windows\system32\perfh00C.dat
      2010-04-25 16:22 . 2007-04-05 12:08 -------- d-----w- c:\program files\Fichiers communs\Adobe
      2010-04-12 15:29 . 2010-04-25 16:36 411368 ----a-w- c:\windows\system32\deployJava1.dll
      2010-03-10 06:16 . 2004-08-03 22:54 420352 ----a-w- c:\windows\system32\vbscript.dll
      2008-01-17 14:49 . 2008-01-17 14:49 15397 ----a-w- c:\program files\settings.dat
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-06-02 48752]
      "vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2005-06-23 85696]
      "Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
      "RTHDCPL"="RTHDCPL.EXE" [2005-12-19 15797248]
      "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-10 98394]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-10 688218]
      "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-02-16 282624]
      "NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
      "EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
      "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
      "CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-24 1983816]
      "CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-18 767312]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-02 40368]
      "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusOverride"=dword:00000001
      "FirewallOverride"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "DisableNotifications"= 1 (0x1)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
      "c:\\Program Files\\uTorrent\\uTorrent.exe"=
      "c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
      "c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
      "c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=

      R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13/02/2010 19:17 64288]
      R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27/02/2006 16:00 34880]
      R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20/02/2006 17:01 29056]
      R3 CIR;Hid Device;c:\windows\system32\drivers\CIR.sys [23/03/2007 03:22 5120]
      R3 kbd;Keyboard;c:\windows\system32\drivers\kbd.sys [23/03/2007 03:22 21504]
      S2 BarDiscover Service;BarDiscover Service;"c:\documents and settings\All Users\Application Data\BarDiscover\bardiscover127.exe" "c:\program files\BarDiscover\bardiscover.dll" ptjfkrulzbu --> c:\documents and settings\All Users\Application Data\BarDiscover\bardiscover127.exe [?]
      S2 gupdate1ca3c575d8f4aa;Service Google Update (gupdate1ca3c575d8f4aa);c:\program files\Google\Update\GoogleUpdate.exe [23/09/2009 16:06 133104]
      S3 Droppix Service;Droppix Service;c:\program files\Fichiers communs\Droppix\DxService.exe [16/06/2009 15:17 221184]
      S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [23/06/2005 20:27 124608]
      S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/03/2007 18:56 664064]

      --- Autres Services/Pilotes en mémoire ---

      *Deregistered* - EraserUtilDrv11010
      .
      Contenu du dossier 'Tâches planifiées'

      2010-05-31 c:\windows\Tasks\AppleSoftwareUpdate.job
      - c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 14:42]

      2010-06-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2009-09-23 14:06]

      2010-06-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2009-09-23 14:06]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://www.google.fr/
      uSearchMigratedDefaultURL = hxxp://www.google.fr
      uInternet Connection Wizard,ShellNext = iexplore
      IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
      Trusted Zone: chat-land.org
      .
      - - - - ORPHELINS SUPPRIMES - - - -

      AddRemove-BarDiscover - c:\program files\BarDiscover\uninstall.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-06-04 00:32
      Windows 5.1.2600 Service Pack 3 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(924)
      c:\windows\system32\Ati2evxx.dll

      - - - - - - - > 'explorer.exe'(3544)
      c:\windows\system32\webcheck.dll
      c:\windows\system32\WPDShServiceObj.dll
      c:\windows\system32\PortableDeviceTypes.dll
      c:\windows\system32\PortableDeviceApi.dll
      c:\windows\system32\eappprxy.dll
      .
      Heure de fin: 2010-06-04 00:36:03
      ComboFix-quarantined-files.txt 2010-06-03 22:35

      Avant-CF: 5 661 290 496 octets libres
      Après-CF: 6 458 974 208 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

      Current=3 Default=3 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
      - - End Of File - - 228E8756341D93E0FC93897A4D6F5360
      0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Désolé petitemado pour tous ces otils que je te fais téléchargés et le temps de cette désinfection, mais il faut que l'on trouve. :-)

    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Smart
    0
    1. Petitemado
       
      Bonsior Smart91, en effet beaucoup de téléchargements à droite à gauche ;) Pour information je n'ai ni clé USB ni disque dur externe, peut etre que cela peu éviter de faire certaine manip. J'ai bien envoyé le dossier.
      J'ai tendance à supprimer les programmes au fur et à mesure... Du coup j'ai du faire quelques manip plusieurs fois. J'ai dans mon C:\ un doc qui s'appel FyK qui contient un dossier de quarantaine... J'imagine qu'il est là suite à une des manip. Je peux le supprimer??
      En tout cas merci du temps que tu passe à rendre mon PC tout beau tou propore!! :)

      Voici le dernier rapport:

      ############################## | Usbfix 7.004 | [Suppression]

      Utilisateur: Madeleine (Administrateur) # MADO [ ]
      Mis à jour le 03/06/10 par El Desaparecido / C_XX
      Lancé à 19:50:46 | 04/06/2010
      Site Web: http://pagesperso-orange.fr/NosTools/index.html
      Contact: FindyKill.Contact@gmail.com

      CPU: Genuine Intel(R) CPU T2400 @ 1.83GHz
      CPU 2: Genuine Intel(R) CPU T2400 @ 1.83GHz
      Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702

      Pare-feu Windows: Activé
      Antivirus: Symantec AntiVirus Corporate Edition 10.0.1.1000 [Enabled | Updated]

      RAM -> 1022 Mo
      C:\ (%systemdrive%) -> Disque fixe # 27 Go (5 Go libre(s) - 19%) [Systeme] # NTFS
      D:\ -> Disque fixe # 66 Go (17 Go libre(s) - 26%) [Donnees] # NTFS
      E:\ -> CD-ROM

      ################## | Éléments infectieux |

      Non supprimé ! C:\Recycler\S-1-5-21-1292428093-764733703-682003330-1003
      Non supprimé ! D:\Recycler\S-1-5-21-1292428093-764733703-682003330-1003

      ################## | Registre |


      ################## | Mountpoints2 |


      ################## | Listing |

      [03/06/2010 - 20:59:20 | A | 17225] C:\aaw7boot.log
      [22/03/2007 - 18:24:23 | A | 0] C:\AUTOEXEC.BAT
      [22/03/2007 - 18:32:18 | A | 214] C:\Boot.bak
      [04/06/2010 - 00:26:55 | RASH | 282] C:\boot.ini
      [07/09/2002 - 01:00:00 | RASH | 4952] C:\Bootfont.bin
      [04/06/2010 - 00:26:54 | RASHD ] C:\cmdcons
      [03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
      [30/09/2009 - 18:21:31 | A | 74] C:\CMLoader.log
      [04/06/2010 - 00:36:03 | A | 12166] C:\ComboFix.txt
      [22/03/2007 - 18:24:23 | A | 0] C:\CONFIG.SYS
      [22/03/2007 - 18:29:23 | D ] C:\Documents and Settings
      [03/06/2010 - 19:29:21 | D ] C:\FyK
      [22/03/2007 - 18:24:23 | RASH | 0] C:\IO.SYS
      [22/03/2007 - 18:24:23 | RASH | 0] C:\MSDOS.SYS
      [17/09/2009 - 20:18:03 | RD ] C:\MSOCache
      [03/08/2004 - 22:38:34 | RASH | 47564] C:\NTDETECT.COM
      [30/08/2008 - 11:19:33 | RASH | 252240] C:\ntldr
      [04/06/2010 - 08:55:27 | ASH | 1610612736] C:\pagefile.sys
      [23/03/2007 - 03:52:29 | D ] C:\pnp
      [31/05/2010 - 09:02:24 | D ] C:\Program Files
      [04/06/2010 - 00:36:06 | D ] C:\Qoobox
      [04/06/2010 - 00:39:44 | SHD ] C:\RECYCLER
      [28/05/2010 - 20:41:26 | A | 2659] C:\resultat.txt
      [23/03/2007 - 04:00:07 | AH | 268] C:\sqmdata00.sqm
      [23/03/2007 - 04:20:44 | AH | 268] C:\sqmdata01.sqm
      [23/03/2007 - 09:53:08 | AH | 268] C:\sqmdata02.sqm
      [21/08/2007 - 19:35:00 | AH | 268] C:\sqmdata03.sqm
      [16/10/2007 - 14:42:00 | AH | 232] C:\sqmdata04.sqm
      [30/10/2007 - 19:40:58 | AH | 232] C:\sqmdata05.sqm
      [30/10/2007 - 20:51:52 | AH | 268] C:\sqmdata06.sqm
      [12/12/2007 - 23:47:56 | AH | 232] C:\sqmdata07.sqm
      [12/12/2007 - 23:47:56 | AH | 232] C:\sqmdata08.sqm
      [23/03/2007 - 04:00:07 | AH | 244] C:\sqmnoopt00.sqm
      [23/03/2007 - 04:20:44 | AH | 244] C:\sqmnoopt01.sqm
      [23/03/2007 - 09:53:08 | AH | 244] C:\sqmnoopt02.sqm
      [21/08/2007 - 19:35:00 | AH | 244] C:\sqmnoopt03.sqm
      [16/10/2007 - 14:42:00 | AH | 244] C:\sqmnoopt04.sqm
      [30/10/2007 - 19:40:58 | AH | 244] C:\sqmnoopt05.sqm
      [30/10/2007 - 20:51:52 | AH | 244] C:\sqmnoopt06.sqm
      [12/12/2007 - 23:47:56 | AH | 244] C:\sqmnoopt07.sqm
      [12/12/2007 - 23:47:56 | AH | 244] C:\sqmnoopt08.sqm
      [22/03/2007 - 18:28:40 | SHD ] C:\System Volume Information
      [04/06/2010 - 19:55:46 | D ] C:\UsbFix
      [04/06/2010 - 19:55:48 | A | 1016] C:\Usbfix.txt
      [04/06/2010 - 09:00:12 | D ] C:\WINDOWS
      [03/03/2009 - 13:12:14 | D ] D:\b47770f229e7280440a21ebb77
      [16/05/2010 - 13:45:53 | RD ] D:\Mes Documents
      [22/03/2007 - 19:32:21 | SHD ] D:\RECYCLER
      [22/03/2007 - 19:34:41 | SHD ] D:\System Volume Information

      ################## | Vaccin |

      C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

      ################## | Upload |

      Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MADO.zip
      https://www.ionos.fr/?affiliate_id=77097
      Merci de votre contribution.

      ################## | E.O.F |
      0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. Super
    Ensuite tu fais ceci:

    Télécharge SystemLook (de jpshortstuff) sur ton bureau :
    http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

    - Double-clique sur "SystemLook.exe" pour lancer l'outil .

    -> Copies/colle le texte ci-dessous dans la fenêtre :

    -----------------------------------------------------------------------------
    :dir
    c:\documents and settings\All Users\Application Data\~0
    ---------------------------------------------------------------------------

    - Clique sur le bouton [Look] pour lancer l'examen .

    Laisse travailler ...

    - Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

    -> Poste ce rapport dans ta prochaine réponse pour analyse ...

    ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )

    Smart
    0
    1. Petitemado
       
      SystemLook v1.0 by jpshortstuff (11.01.10)
      Log created at 22:05 on 04/06/2010 by Madeleine (Administrator - Elevation successful)

      ========== dir ==========

      c:\documents and settings\All Users\Application Data\~0 - Unable to find folder.

      -=End Of File=-
      0
    2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Refais ceci

      - Double-clique sur "SystemLook.exe" pour lancer l'outil .

      -> Copies/colle le texte ci-dessous dans la fenêtre :

      -----------------------------------------------------------------------------
      :dir
      c:\documents and settings\All Users\Application Data

      ---------------------------------------------------------------------------

      - Clique sur le bouton [Look] pour lancer l'examen .

      Laisse travailler ...

      - Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

      -> Poste ce rapport dans ta prochaine réponse pour analyse ...

      ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


      PS: quand on aura supprimé les restes d'infection, on procèdera à la désinstallation de tous les outils que je t'ai faits télécharger

      Smart
      0
    3. Petitemado
       
      SystemLook v1.0 by jpshortstuff (11.01.10)
      Log created at 18:57 on 06/06/2010 by Madeleine (Administrator - Elevation successful)

      ========== dir ==========

      c:\documents and settings\All Users\Application Data - Parameters: "(none)"

      ---Files---
      desktop.ini --ahs- 62 bytes [17:07 22/03/2007] [17:07 22/03/2007]
      LauncherAccess.dt --a--- 0 bytes [16:21 30/09/2009] [17:57 30/09/2009]

      ---Folders---
      Adobe d----- [12:12 05/04/2007]
      Apple Computer d----- [01:53 23/03/2007]
      CanonBJ d--h-- [18:59 10/12/2009]
      CanonIJ d----- [10:48 21/12/2009]
      CanonIJMyPrinter d--h-- [19:08 10/12/2009]
      CanonIJPLM d----- [19:07 10/12/2009]
      CanonIJScan d--h-- [10:45 21/12/2009]
      CanonIJSolutionMenu d--h-- [19:08 10/12/2009]
      Corel d----- [19:07 02/03/2008]
      Droppix d----- [13:16 16/06/2009]
      Google d----- [10:51 04/04/2007]
      InstallShield d----- [01:56 23/03/2007]
      Lavasoft d----- [17:15 13/02/2010]
      LightScribe d----- [13:19 16/06/2009]
      Malwarebytes d----- [17:47 29/05/2010]
      Messenger Plus! d----- [14:38 15/03/2008]
      Microsoft d---s- [17:07 22/03/2007]
      Microsoft Help d----- [17:10 22/03/2007]
      Norton d----- [12:46 21/11/2009]
      NortonInstaller d----- [12:46 21/11/2009]
      Pinnacle d----- [08:50 29/01/2010]
      Pinnacle VideoSpin d----- [08:52 29/01/2010]
      Skype d----- [10:51 04/04/2007]
      Sun d----- [16:37 25/04/2010]
      Symantec d----- [17:37 22/03/2007]
      TEMP d-a--- [09:05 11/02/2010]
      UDL d----- [20:32 25/04/2007]
      Windows Genuine Advantage d----- [18:16 22/03/2007]
      WLInstaller d----- [10:28 05/03/2008]
      {52AC600B-5800-407E-99FF-83CD0669760B} d--h-c [22:48 03/06/2010]

      -=End Of File=-
      0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    REafis un Sca ZHPDiag et poste le rapport

    Smart
    0
    1. Petitemado
       
      http://www.cijoint.fr/cjlink.php?file=cj201006/cijyLT7lxr.txt
      0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Fais ceci:
    Clique sur demarrer > Paramètres > Centre de sécurité et mets:
    - Parefeu sur Activé
    - Mises à jour automatique sur Activé
    - Protection antivirus sur Activé

    Ensuite tu refais un sacn ZHPDiag et tu postes le rapport

    Smart
    0
  17. Petitemado
     
    ??? Les trois sont déjà activés (donc dans le dernier rapport aussi!)

    Petitemado
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      J'aurais dû mieux m'expliquer

      Dans le raport ZHPDiag voilà ce que l'on voit:

      [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
      [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified


      On devrait avoir ceci:
      [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: OK
      [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: OK

      Si MBAM et Zhpfix ne parviennent pas a le modifier cela correspond a un changement dans le centre de sécurité. Donc il se pourrait que le centre de sécurité soit configuré pour ne pas contrôler le statut de son antivirus et pare-feu.

      Mais ce qui n'est pas ton cas. Donc il faut que l'on trouve qu'est-ce qui change ces valeurs.

      Il se peut également qu'il y ait eu un problème sur le copier/Coller car ZHPFix ne voit qu'une seule ligne qu'il ne comprend pas,

      A tout hasard refais un ZHPFix en copiant les lignes en gras en haut de cette réponse dans la fenêtre H et bien faire attention que cela soit deux lignes distinctes.

      Voilà j'espère mettre bien fait comprendre

      Smart
      0
    2. Petitemado
       
      ZHPFix v1.12.3104 by Nicolas Coolman - Rapport de suppression du 07/06/2010 21:26:06
      Fichier Registre :
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      (Néant)

      Valeur du Registre :
      (Néant)

      Elément de données du Registre :
      [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
      [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

      Préférences navigateur :
      (Néant)

      Dossier :
      (Néant)

      Fichier :
      (Néant)

      Logiciel :
      (Néant)

      Script Registre :
      (Néant)

      Master Boot Record :
      (Néant)

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 0
      Valeur du Registre : 0
      Elément de données du Registre : 2
      Dossier : 0
      Fichier : 0
      Logiciel : 0
      Master Boot Record : 0
      Préférences navigateur : 0
      Autre : 0


      End of the scan
      0
    3. Petitemado
       
      Dans la foulée... Si besoin!
      http://www.cijoint.fr/cjlink.php?file=cj201006/cij1mdzClx.txt
      0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Hourra. on a réussi. Il y avait donc bien bien un pb de copié/collé.

    On a presque terminé

    Tout d'abord, il faut que tu fasses de la place sur ton disque syteme C:, il te faut au minimum 9 GO de disponible
    Ensuite tu fais la mise à jour de Adobe:
    Désinstalle Adobe 8
    Installe Adobe 9

    1. Désinstallation des outils

    Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
    Tutoriel pour t'aide

    2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
    Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
    - Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
    - Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    - Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

    3. Désactiver la restauration système et céer un point de restauration
    Dans la barre des tâches de Windows, clique sur Démarrer.
    Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
    Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
    Clique sur Appliquer.
    Ensuite décoche "Désactiver la restauration du systeme"
    Clique sur appliquer puis ok
    Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

    Quelques conseils de Prévention

    - Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    - Par rapport au P2P : http://www.libellules.ch/...

    - Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
    Prévention et Protection

    Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

    Smart
    0
    1. Petitemado
       
      Peut être juste une ou deux questions pour conclure : j'ai déjà Ad-aware sur mon PC, j'ai cru comprendre que multiplier les proctection n'est pas top, donc est ce util de le virer sachant que j'ai conservé MBAM?
      J'ai un fichier dans mon C:\ qui s'appelle FyK. Je pense qu'il est du à l'un des prgrammes que j'ai installé au cours de la désinfection. Puis je le supprimer? il contien un dossier "Tools" et un dossier "quanrantine"!

      Dans tous les cas merci de ta précieuse aide!!
      0
    2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      En effet tu peux désinstaller Fyk et également Ad-Aware qui ne sert plus à grand chose aujourd'hui. Ton antivirus résident si il est bien mis à jour automatiquement fait l'affaire.
      Tu peux conserver MBAM et fais une fois par mois un scan, mais surtout quand tu le lances n'oublie pas de cliquer sur mise à jour, pour mettre à jour la base virale avant le scan.
      Voilà. Tu peux mettre la discussion en résolue

      Smart
      0