Cherche.us

Résolu/Fermé
Petitemado - 28 mai 2010 à 20:48
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 8 juin 2010 à 00:20
Bonjour,

Je me suis chopé un truc chiant en me balladant sur internet... J'ai cru comprendre qu'on le choppait sur chat land (j'ai du tomber dessus en cherchant autre chose mais ca à suffit à mettre la zizani dans ma page de démarage!)

A début je remettait google avec outils/option internet... Mais une fois il m'a indiqué que je tentai de modifier la page (sans blague) et m'a demandé s j'étais d'accord!! J'ai dit oui (évidement!) et depuis même en allant dans outils je ne peu plus remettre google comme page de démarage.

J'ai déjà essayé de modifier les registres en suivant les conseils d'un post mais sans résultat!! Je commence à saturé de ce logiciel à la c**

Si quelqu'un pouvait me prendre par lam ain pour me guider dans une tentative de restauration de mes paramètres d'origine ce serait super car la je vais craquer!!! ;)
Merci!


17 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
28 mai 2010 à 20:49
Bonjour

/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
- Clique sur [gras>TÉLÉCHARGER</gras> et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Smart
0
Je suis sous XP... ;)
Peux tu me confirmer que la manip fonctionne donc aussi sous XP...
0
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 21:26:16 le 28/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Professionnel (Service Pack 3 - X86)
Nom du PC: MADO
Utilisateur actuel: Madeleine
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.

(!) -- Fichiers temporaires supprimés.
.
.
.
============== SCAN ADDITIONNEL ==============
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Ad-Remover\Backup: 12 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 5991 Octet(s)
C:\Ad-Report-CLEAN[2].txt - 1853 Octet(s)
.
Fin à: 21:32:14, 28/05/2010
.
============== E.O.F - CLEAN[2] ==============
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
29 mai 2010 à 09:54
OK. On a bien avancé

/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart
0
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4154

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/05/2010 18:09:36
mbam-log-2010-05-30 (18-09-36).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 209590
Temps écoulé: 1 heure(s), 14 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 19
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\shoppingreport2.hbax (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport2.hbax.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport2.hbinfoband (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport2.hbinfoband.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport2.iebutton (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport2.iebutton.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport2.iebuttona (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport2.iebuttona.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport2.rprtctrl (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\shoppingreport2.rprtctrl.1 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{258c9770-1713-4021-8d7e-1f184a2bd754} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{258c9770-1713-4021-8d7e-1f184a2bd754} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{db38e21a-0133-419d-92ad-ecdfd5244d6d} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{eb620c54-e229-4942-87ce-e717109fc8c6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{db38e21a-0133-419d-92ad-ecdfd5244d6d} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{eb620c54-e229-4942-87ce-e717109fc8c6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{db38e21a-0133-419d-92ad-ecdfd5244d6d} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{eb620c54-e229-4942-87ce-e717109fc8c6} (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Madeleine\Local Settings\Application Data\av.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{5A53501F-4223-4AFD-916B-19F5448140CE}\RP594\A0176533.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
0
du coup j'ai aussi supprimé tous les fichiers infécté de la quarantaine! ;)
Mon problème semble résolu (j'ai de nouveau accès à la bonne page de démarage (depuis la 1ere manip)) mais s'il y a encore des "risque" d'infection quelconque, je suis prète à aller plus loins si nécessaire!!
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
30 mai 2010 à 18:52
Tu as bien fait de vider la quarantaine de MBAM.
On va vérifier si il y a encore des infections

Télécharge ZHPDiag sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart
0
Voila : Petitemado
http://www.cijoint.fr/cjlink.php?file=cj201005/cijdnAKz55.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
31 mai 2010 à 10:51
Tu es encore bien infecté. Et surtout tu n'as plus beaucoup de place disponible sur on disque système C:. Il faut soit que tu sauvegardes des données sur un dique externe et/ou désinstaller les programmes inutiles ou que tu ne te sers plus.

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
MBRFix
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O42 - Logiciel: ShopperReports - (.ShopperReports.) [HKLM]


----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart
0
ZHPFix v1.12.3102 by Nicolas Coolman - Rapport de suppression du 31/05/2010 21:35:50
Fichier d'export Registre : C:\ZHPExportRegistry-31-05-2010-21-35-50.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O42 - Logiciel: ShopperReports - (.ShopperReports.) [HKLM] => Clé supprimée avec succès

Valeur du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Valeur absente

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
O42 - Logiciel: ShopperReports - (.ShopperReports.) [HKLM] => Logiciel supprimé avec succès

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe >>UNKNOWN [0x873DBEB0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> 0x873dbeb0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 1
Master Boot Record : 19
Préférences navigateur : 0
Autre : 0


End of the scan
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
31 mai 2010 à 21:44
OK. On a bien avancé. Refais un rapport ZHPDiag

Smart
0
Sorry... voici le bon lien... http://www.cijoint.fr/cjlink.php?file=cj201005/cijf2p5cYI.txt
Celui d'avant est l'ancien rapport!
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 31/05/2010 à 23:30
Je vois toujour une infection mais elle peux venir d'un logiciel légitime que tu as installé. Pour vérifier on va faire cela:

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

Ensuite tu refais un ZHPDiag et tu postes le rapport

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
http://www.cijoint.fr/cjlink.php?file=cj201006/cijGxWkfOq.txt

Voici le rapport, je réactive mon émulateur!
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 1/06/2010 à 23:25
En en effet HPDiag voyais l'émulateur de CD comme un rootKit. C'était donc un faux positif.
Mais il reste deux choses
Redésactive l'émulateur.
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified

----------------------------------------------------------

- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
ZHPFix v1.12.3102 by Nicolas Coolman - Rapport de suppression du 01/06/2010 20:03:51
Fichier d'export Registre : C:\ZHPExportRegistry-01-06-2010-20-03-51.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Valeur absente

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
2 juin 2010 à 11:48
J'ai toujours les lignes présentes. Mais on va faire autre chose:

Télécharge FindyKill (créé par El Desaparecido) et enregistre-le sur ton bureau

- tutoriel recherche
- /!\ Ne fais pas le nettoyage tout dessuite /!\
- Double-clique sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement
- Au menu principal,choisis l'option 1 (Recherche)
- Poste le rapport FindyKill.txt

* Note : le rapport FindyKill.txt est sauvegardé a la racine du disque: c:\Findykill.txt

Smart
0
############################## | FindyKill V5.043 |

# User : Madeleine (Administrateurs) # MADO
# Update on 12/05/2010 by El Desaparecido
# Start at: 00:38:15 | 03/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Genuine Intel(R) CPU T2400 @ 1.83GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : Symantec AntiVirus Corporate Edition 10.0.1.1000 [ Enabled | Updated ]

# C:\ # Disque fixe local # 27,35 Go (5 Go free) [Systeme] # NTFS
# D:\ # Disque fixe local # 65,8 Go (17,09 Go free) [Donnees] # NTFS
# E:\ # Disque CD-ROM

################## | Eléments infectieux |

C:\Documents and Settings\Madeleine\Local Settings\Temporary Internet Files\Content.IE5\TOFJJ8FM\B64AD696451FD4C663CC63672E7B10[1].jpg

################## | Registre |

[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]

################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.043 ! |
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
3 juin 2010 à 01:32
On va faire la Suppression:

- tutoriel nettoyage
- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
- Double clic sur le raccourci FindyKill sur ton bureau
- Au menu principal, choisis l'option 2 (Suppression)

/!\ il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué"

/!\ Ne te sert pas du pc durant la suppression, ton bureau ne sera pas accessible c'est normal

- Ensuite poste le rapport FindyKill.txt
- FindyKill te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
- Ce dossier a été créé par FindyKill et est enregistré sur ton bureau.
- Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de FindyKill dans ses recherches.
- Il faut sélectionner "FindyKill" dans le menu déroulant
- Merci d'avance pour ta contribution

* Note : le rapport FindyKill.txt est sauvegardé à la racine du disque
* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide

Smart
0
############################## | FindyKill V5.043 |

# User : Madeleine (Administrateurs) # MADO
# Update on 12/05/2010 by El Desaparecido
# Start at: 09:11:52 | 03/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Genuine Intel(R) CPU T2400 @ 1.83GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : Symantec AntiVirus Corporate Edition 10.0.1.1000 [ Enabled | Updated ]

# C:\ # Disque fixe local # 27,35 Go (4,99 Go free) [Systeme] # NTFS
# D:\ # Disque fixe local # 65,8 Go (17,09 Go free) [Donnees] # NTFS
# E:\ # Disque CD-ROM

################## | Eléments infectieux |

Supprimé ! C:\Documents and Settings\Madeleine\Local Settings\Temporary Internet Files\Content.IE5\TOFJJ8FM\B64AD696451FD4C663CC63672E7B10[1].jpg

################## | MD5 ... |


################## | CRC32 ... |


################## | Registre |

Supprimé ! [HKCR\ed2k]

################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Fichiers corrompus |

... OK !

################## | Upload |
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
3 juin 2010 à 19:44
Est-ce que tu peux refaire un ZHPDiag

Smart
0
http://www.cijoint.fr/cjlink.php?file=cj201006/cijqrXeCg1.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
3 juin 2010 à 22:33
Toujour là.

Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil
Imprime la procédure


Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

- /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
- Double-clique sur ComboFix.exe
- Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
- Surtout, accepte d'installer la console de récupération

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart
0
ComboFix 10-06-03.01 - Madeleine 04/06/2010 0:27.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.396 [GMT 2:00]
Lancé depuis: c:\documents and settings\Madeleine\Bureau\ComboFix.exe
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-03 au 2010-06-03 ))))))))))))))))))))))))))))))))))))
.

2010-06-03 07:26 . 2010-06-03 07:26 879 ----a-w- C:\FindyKill_Upload_Me_MADO.zip
2010-06-02 22:37 . 2010-06-03 17:29 -------- d-----w- C:\FyK
2010-05-31 07:02 . 2010-06-03 19:11 -------- d-----w- c:\program files\ZHPDiag
2010-05-29 17:47 . 2010-05-29 17:47 -------- d-----w- c:\documents and settings\Madeleine\Application Data\Malwarebytes
2010-05-29 17:47 . 2010-05-29 17:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-05-29 17:47 . 2010-06-03 17:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-28 22:37 . 2010-05-28 22:37 503808 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4b09a6a6-n\msvcp71.dll
2010-05-28 22:37 . 2010-05-28 22:37 499712 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4b09a6a6-n\jmc.dll
2010-05-28 22:37 . 2010-05-28 22:37 348160 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-4b09a6a6-n\msvcr71.dll
2010-05-28 22:37 . 2010-05-28 22:37 61440 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-336a733d-n\decora-sse.dll
2010-05-28 22:37 . 2010-05-28 22:37 12800 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-336a733d-n\decora-d3d.dll
2010-05-12 16:00 . 2010-05-23 20:27 -------- d-----w- c:\program files\Norton Security Scan
2010-05-11 11:45 . 2010-06-03 20:11 -------- d-----w- c:\documents and settings\Madeleine\Application Data\vlc

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-03 22:21 . 2010-02-25 08:40 -------- dc-h--w- c:\documents and settings\All Users\Application Data\~0
2010-06-03 22:21 . 2007-03-23 01:57 -------- d-----w- c:\program files\Lavasoft
2010-06-03 22:21 . 2010-02-13 17:15 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft
2010-06-03 22:19 . 2007-03-22 17:37 -------- d-----w- c:\program files\Symantec AntiVirus
2010-06-03 19:59 . 2009-10-28 08:17 -------- d-----w- c:\program files\Microsoft Silverlight
2010-05-28 22:37 . 2010-04-30 22:37 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-28 19:40 . 2007-10-19 14:19 -------- d-----w- c:\program files\DivX
2010-05-23 20:29 . 2007-04-04 10:51 -------- d-----w- c:\program files\Google
2010-05-23 20:28 . 2007-04-25 20:29 -------- d-----w- c:\program files\EPSON
2010-05-23 20:27 . 2009-12-10 18:56 -------- d-----w- c:\program files\Canon
2010-05-23 20:27 . 2007-06-02 09:32 -------- d-----w- c:\program files\eMule
2010-05-23 20:27 . 2009-11-21 12:46 -------- d-----w- c:\documents and settings\All Users\Application Data\Norton
2010-05-23 18:50 . 2010-05-23 18:29 64 ----a-w- c:\documents and settings\Madeleine\errorlog.tmp
2010-05-23 18:01 . 2008-03-04 11:23 -------- d-----w- c:\documents and settings\Madeleine\Application Data\Corel
2010-05-23 17:58 . 2008-03-04 11:23 952 --sha-w- c:\windows\system32\KGyGaAvL.sys
2010-05-16 22:35 . 2008-03-02 18:12 -------- d-----w- c:\documents and settings\Madeleine\Application Data\uTorrent
2010-05-15 13:13 . 2008-03-02 18:12 -------- d-----w- c:\program files\uTorrent
2010-05-14 01:03 . 2007-03-22 17:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-05-12 22:03 . 2009-08-05 14:42 -------- d-----w- c:\documents and settings\Madeleine\Application Data\dvdcss
2010-05-12 16:00 . 2009-11-21 12:46 -------- d-----w- c:\documents and settings\All Users\Application Data\NortonInstaller
2010-05-11 10:15 . 2009-12-10 19:07 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJPLM
2010-05-10 17:34 . 2009-12-21 10:48 -------- d-----w- c:\documents and settings\All Users\Application Data\CanonIJ
2010-04-25 16:37 . 2010-04-25 16:37 -------- d-----w- c:\program files\Fichiers communs\Java
2010-04-25 16:37 . 2010-04-25 16:37 503808 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4664d58d-n\msvcp71.dll
2010-04-25 16:37 . 2010-04-25 16:37 499712 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4664d58d-n\jmc.dll
2010-04-25 16:37 . 2010-04-25 16:37 348160 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-4664d58d-n\msvcr71.dll
2010-04-25 16:36 . 2010-04-25 16:36 61440 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6a69fbc0-n\decora-sse.dll
2010-04-25 16:36 . 2010-04-25 16:36 12800 ----a-w- c:\documents and settings\Madeleine\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-6a69fbc0-n\decora-d3d.dll
2010-04-25 16:36 . 2007-08-03 18:23 -------- d-----w- c:\program files\Java
2010-04-25 16:35 . 2002-09-06 23:00 85842 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-25 16:35 . 2002-09-06 23:00 513736 ----a-w- c:\windows\system32\perfh00C.dat
2010-04-25 16:22 . 2007-04-05 12:08 -------- d-----w- c:\program files\Fichiers communs\Adobe
2010-04-12 15:29 . 2010-04-25 16:36 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-03-10 06:16 . 2004-08-03 22:54 420352 ----a-w- c:\windows\system32\vbscript.dll
2008-01-17 14:49 . 2008-01-17 14:49 15397 ----a-w- c:\program files\settings.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-06-02 48752]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2005-06-23 85696]
"Raccourci vers la page des propriétés de High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 15797248]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-03-10 98394]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-03-10 688218]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-02-16 282624]
"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2009-03-24 1983816]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2009-03-18 767312]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-04-02 40368]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\umi.exe"=
"c:\\Program Files\\Pinnacle\\VideoSpin\\Programs\\VideoSpin.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13/02/2010 19:17 64288]
R0 O2MDRDR;O2MDRDR;c:\windows\system32\drivers\o2media.sys [27/02/2006 16:00 34880]
R0 O2SDRDR;O2SDRDR;c:\windows\system32\drivers\o2sd.sys [20/02/2006 17:01 29056]
R3 CIR;Hid Device;c:\windows\system32\drivers\CIR.sys [23/03/2007 03:22 5120]
R3 kbd;Keyboard;c:\windows\system32\drivers\kbd.sys [23/03/2007 03:22 21504]
S2 BarDiscover Service;BarDiscover Service;"c:\documents and settings\All Users\Application Data\BarDiscover\bardiscover127.exe" "c:\program files\BarDiscover\bardiscover.dll" ptjfkrulzbu --> c:\documents and settings\All Users\Application Data\BarDiscover\bardiscover127.exe [?]
S2 gupdate1ca3c575d8f4aa;Service Google Update (gupdate1ca3c575d8f4aa);c:\program files\Google\Update\GoogleUpdate.exe [23/09/2009 16:06 133104]
S3 Droppix Service;Droppix Service;c:\program files\Fichiers communs\Droppix\DxService.exe [16/06/2009 15:17 221184]
S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [23/06/2005 20:27 124608]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [22/03/2007 18:56 664064]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - EraserUtilDrv11010
.
Contenu du dossier 'Tâches planifiées'

2010-05-31 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-01-10 14:42]

2010-06-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-23 14:06]

2010-06-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-09-23 14:06]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.fr
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
Trusted Zone: chat-land.org
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-BarDiscover - c:\program files\BarDiscover\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-04 00:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(924)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3544)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-06-04 00:36:03
ComboFix-quarantined-files.txt 2010-06-03 22:35

Avant-CF: 5 661 290 496 octets libres
Après-CF: 6 458 974 208 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

Current=3 Default=3 Failed=2 LastKnownGood=5 Sets=1,2,3,4,5
- - End Of File - - 228E8756341D93E0FC93897A4D6F5360
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
4 juin 2010 à 11:24
Désolé petitemado pour tous ces otils que je te fais téléchargés et le temps de cette désinfection, mais il faut que l'on trouve. :-)

- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

Smart
0
Bonsior Smart91, en effet beaucoup de téléchargements à droite à gauche ;) Pour information je n'ai ni clé USB ni disque dur externe, peut etre que cela peu éviter de faire certaine manip. J'ai bien envoyé le dossier.
J'ai tendance à supprimer les programmes au fur et à mesure... Du coup j'ai du faire quelques manip plusieurs fois. J'ai dans mon C:\ un doc qui s'appel FyK qui contient un dossier de quarantaine... J'imagine qu'il est là suite à une des manip. Je peux le supprimer??
En tout cas merci du temps que tu passe à rendre mon PC tout beau tou propore!! :)

Voici le dernier rapport:

############################## | Usbfix 7.004 | [Suppression]

Utilisateur: Madeleine (Administrateur) # MADO [ ]
Mis à jour le 03/06/10 par El Desaparecido / C_XX
Lancé à 19:50:46 | 04/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Genuine Intel(R) CPU T2400 @ 1.83GHz
CPU 2: Genuine Intel(R) CPU T2400 @ 1.83GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: Symantec AntiVirus Corporate Edition 10.0.1.1000 [Enabled | Updated]

RAM -> 1022 Mo
C:\ (%systemdrive%) -> Disque fixe # 27 Go (5 Go libre(s) - 19%) [Systeme] # NTFS
D:\ -> Disque fixe # 66 Go (17 Go libre(s) - 26%) [Donnees] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |

Non supprimé ! C:\Recycler\S-1-5-21-1292428093-764733703-682003330-1003
Non supprimé ! D:\Recycler\S-1-5-21-1292428093-764733703-682003330-1003

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[03/06/2010 - 20:59:20 | A | 17225] C:\aaw7boot.log
[22/03/2007 - 18:24:23 | A | 0] C:\AUTOEXEC.BAT
[22/03/2007 - 18:32:18 | A | 214] C:\Boot.bak
[04/06/2010 - 00:26:55 | RASH | 282] C:\boot.ini
[07/09/2002 - 01:00:00 | RASH | 4952] C:\Bootfont.bin
[04/06/2010 - 00:26:54 | RASHD ] C:\cmdcons
[03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
[30/09/2009 - 18:21:31 | A | 74] C:\CMLoader.log
[04/06/2010 - 00:36:03 | A | 12166] C:\ComboFix.txt
[22/03/2007 - 18:24:23 | A | 0] C:\CONFIG.SYS
[22/03/2007 - 18:29:23 | D ] C:\Documents and Settings
[03/06/2010 - 19:29:21 | D ] C:\FyK
[22/03/2007 - 18:24:23 | RASH | 0] C:\IO.SYS
[22/03/2007 - 18:24:23 | RASH | 0] C:\MSDOS.SYS
[17/09/2009 - 20:18:03 | RD ] C:\MSOCache
[03/08/2004 - 22:38:34 | RASH | 47564] C:\NTDETECT.COM
[30/08/2008 - 11:19:33 | RASH | 252240] C:\ntldr
[04/06/2010 - 08:55:27 | ASH | 1610612736] C:\pagefile.sys
[23/03/2007 - 03:52:29 | D ] C:\pnp
[31/05/2010 - 09:02:24 | D ] C:\Program Files
[04/06/2010 - 00:36:06 | D ] C:\Qoobox
[04/06/2010 - 00:39:44 | SHD ] C:\RECYCLER
[28/05/2010 - 20:41:26 | A | 2659] C:\resultat.txt
[23/03/2007 - 04:00:07 | AH | 268] C:\sqmdata00.sqm
[23/03/2007 - 04:20:44 | AH | 268] C:\sqmdata01.sqm
[23/03/2007 - 09:53:08 | AH | 268] C:\sqmdata02.sqm
[21/08/2007 - 19:35:00 | AH | 268] C:\sqmdata03.sqm
[16/10/2007 - 14:42:00 | AH | 232] C:\sqmdata04.sqm
[30/10/2007 - 19:40:58 | AH | 232] C:\sqmdata05.sqm
[30/10/2007 - 20:51:52 | AH | 268] C:\sqmdata06.sqm
[12/12/2007 - 23:47:56 | AH | 232] C:\sqmdata07.sqm
[12/12/2007 - 23:47:56 | AH | 232] C:\sqmdata08.sqm
[23/03/2007 - 04:00:07 | AH | 244] C:\sqmnoopt00.sqm
[23/03/2007 - 04:20:44 | AH | 244] C:\sqmnoopt01.sqm
[23/03/2007 - 09:53:08 | AH | 244] C:\sqmnoopt02.sqm
[21/08/2007 - 19:35:00 | AH | 244] C:\sqmnoopt03.sqm
[16/10/2007 - 14:42:00 | AH | 244] C:\sqmnoopt04.sqm
[30/10/2007 - 19:40:58 | AH | 244] C:\sqmnoopt05.sqm
[30/10/2007 - 20:51:52 | AH | 244] C:\sqmnoopt06.sqm
[12/12/2007 - 23:47:56 | AH | 244] C:\sqmnoopt07.sqm
[12/12/2007 - 23:47:56 | AH | 244] C:\sqmnoopt08.sqm
[22/03/2007 - 18:28:40 | SHD ] C:\System Volume Information
[04/06/2010 - 19:55:46 | D ] C:\UsbFix
[04/06/2010 - 19:55:48 | A | 1016] C:\Usbfix.txt
[04/06/2010 - 09:00:12 | D ] C:\WINDOWS
[03/03/2009 - 13:12:14 | D ] D:\b47770f229e7280440a21ebb77
[16/05/2010 - 13:45:53 | RD ] D:\Mes Documents
[22/03/2007 - 19:32:21 | SHD ] D:\RECYCLER
[22/03/2007 - 19:34:41 | SHD ] D:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_MADO.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
4 juin 2010 à 22:04
OK. Super
Ensuite tu fais ceci:

Télécharge SystemLook (de jpshortstuff) sur ton bureau :
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

- Double-clique sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre :

-----------------------------------------------------------------------------
:dir
c:\documents and settings\All Users\Application Data\~0
---------------------------------------------------------------------------

- Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

- Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

-> Poste ce rapport dans ta prochaine réponse pour analyse ...

( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )

Smart
0
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 22:05 on 04/06/2010 by Madeleine (Administrator - Elevation successful)

========== dir ==========

c:\documents and settings\All Users\Application Data\~0 - Unable to find folder.

-=End Of File=-
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 5/06/2010 à 19:36
Refais ceci

- Double-clique sur "SystemLook.exe" pour lancer l'outil .

-> Copies/colle le texte ci-dessous dans la fenêtre :

-----------------------------------------------------------------------------
:dir
c:\documents and settings\All Users\Application Data

---------------------------------------------------------------------------

- Clique sur le bouton [Look] pour lancer l'examen .

Laisse travailler ...

- Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.

-> Poste ce rapport dans ta prochaine réponse pour analyse ...

( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" )


PS: quand on aura supprimé les restes d'infection, on procèdera à la désinstallation de tous les outils que je t'ai faits télécharger

Smart
0
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 18:57 on 06/06/2010 by Madeleine (Administrator - Elevation successful)

========== dir ==========

c:\documents and settings\All Users\Application Data - Parameters: "(none)"

---Files---
desktop.ini --ahs- 62 bytes [17:07 22/03/2007] [17:07 22/03/2007]
LauncherAccess.dt --a--- 0 bytes [16:21 30/09/2009] [17:57 30/09/2009]

---Folders---
Adobe d----- [12:12 05/04/2007]
Apple Computer d----- [01:53 23/03/2007]
CanonBJ d--h-- [18:59 10/12/2009]
CanonIJ d----- [10:48 21/12/2009]
CanonIJMyPrinter d--h-- [19:08 10/12/2009]
CanonIJPLM d----- [19:07 10/12/2009]
CanonIJScan d--h-- [10:45 21/12/2009]
CanonIJSolutionMenu d--h-- [19:08 10/12/2009]
Corel d----- [19:07 02/03/2008]
Droppix d----- [13:16 16/06/2009]
Google d----- [10:51 04/04/2007]
InstallShield d----- [01:56 23/03/2007]
Lavasoft d----- [17:15 13/02/2010]
LightScribe d----- [13:19 16/06/2009]
Malwarebytes d----- [17:47 29/05/2010]
Messenger Plus! d----- [14:38 15/03/2008]
Microsoft d---s- [17:07 22/03/2007]
Microsoft Help d----- [17:10 22/03/2007]
Norton d----- [12:46 21/11/2009]
NortonInstaller d----- [12:46 21/11/2009]
Pinnacle d----- [08:50 29/01/2010]
Pinnacle VideoSpin d----- [08:52 29/01/2010]
Skype d----- [10:51 04/04/2007]
Sun d----- [16:37 25/04/2010]
Symantec d----- [17:37 22/03/2007]
TEMP d-a--- [09:05 11/02/2010]
UDL d----- [20:32 25/04/2007]
Windows Genuine Advantage d----- [18:16 22/03/2007]
WLInstaller d----- [10:28 05/03/2008]
{52AC600B-5800-407E-99FF-83CD0669760B} d--h-c [22:48 03/06/2010]

-=End Of File=-
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
6 juin 2010 à 19:25
REafis un Sca ZHPDiag et poste le rapport

Smart
0
http://www.cijoint.fr/cjlink.php?file=cj201006/cijyLT7lxr.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
6 juin 2010 à 23:23
Fais ceci:
Clique sur demarrer > Paramètres > Centre de sécurité et mets:
- Parefeu sur Activé
- Mises à jour automatique sur Activé
- Protection antivirus sur Activé

Ensuite tu refais un sacn ZHPDiag et tu postes le rapport

Smart
0
??? Les trois sont déjà activés (donc dans le dernier rapport aussi!)

Petitemado
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 7/06/2010 à 10:40
J'aurais dû mieux m'expliquer

Dans le raport ZHPDiag voilà ce que l'on voit:

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified


On devrait avoir ceci:
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: OK
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: OK

Si MBAM et Zhpfix ne parviennent pas a le modifier cela correspond a un changement dans le centre de sécurité. Donc il se pourrait que le centre de sécurité soit configuré pour ne pas contrôler le statut de son antivirus et pare-feu.

Mais ce qui n'est pas ton cas. Donc il faut que l'on trouve qu'est-ce qui change ces valeurs.

Il se peut également qu'il y ait eu un problème sur le copier/Coller car ZHPFix ne voit qu'une seule ligne qu'il ne comprend pas,

A tout hasard refais un ZHPFix en copiant les lignes en gras en haut de cette réponse dans la fenêtre H et bien faire attention que cela soit deux lignes distinctes.

Voilà j'espère mettre bien fait comprendre

Smart
0
ZHPFix v1.12.3104 by Nicolas Coolman - Rapport de suppression du 07/06/2010 21:26:06
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 2
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan
0
Dans la foulée... Si besoin!
http://www.cijoint.fr/cjlink.php?file=cj201006/cij1mdzClx.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
7 juin 2010 à 21:52
Hourra. on a réussi. Il y avait donc bien bien un pb de copié/collé.

On a presque terminé

Tout d'abord, il faut que tu fasses de la place sur ton disque syteme C:, il te faut au minimum 9 GO de disponible
Ensuite tu fais la mise à jour de Adobe:
Désinstalle Adobe 8
Installe Adobe 9

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

- Par rapport au P2P : http://www.libellules.ch/...

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart
0
Peut être juste une ou deux questions pour conclure : j'ai déjà Ad-aware sur mon PC, j'ai cru comprendre que multiplier les proctection n'est pas top, donc est ce util de le virer sachant que j'ai conservé MBAM?
J'ai un fichier dans mon C:\ qui s'appelle FyK. Je pense qu'il est du à l'un des prgrammes que j'ai installé au cours de la désinfection. Puis je le supprimer? il contien un dossier "Tools" et un dossier "quanrantine"!

Dans tous les cas merci de ta précieuse aide!!
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 8/06/2010 à 00:21
En effet tu peux désinstaller Fyk et également Ad-Aware qui ne sert plus à grand chose aujourd'hui. Ton antivirus résident si il est bien mis à jour automatiquement fait l'affaire.
Tu peux conserver MBAM et fais une fois par mois un scan, mais surtout quand tu le lances n'oublie pas de cliquer sur mise à jour, pour mettre à jour la base virale avant le scan.
Voilà. Tu peux mettre la discussion en résolue

Smart
0