Ordi infecté !!!

ok je fais ça tout de suite merci

https://www.cjoint.com/?gzvERBQAu8
https://www.cjoint.com/?gzvFKn3FnT

Voici les deux lien, bonne chance je pipe rien ;)

Voilà c'est fait, mais je n'ai que deux disque externe ma web cam et mon appareil photo...



############################## | UsbFix 7.014 | [Recherche]

Utilisateur: franck et valou (Administrateur) # PC-DE-FRANCKETV [PACKARD BELL BV IMEDIA D2600]
Mis à jour le 24/06/10 par El Desaparecido / C_XX
Lancé à 21:40:59 | 25/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
CPU 2: Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18928

Pare-feu Windows: Activé
RAM -> 3070 Mo
C:\ (%systemdrive%) -> Disque fixe # 584 Go (434 Go libre(s) - 74%) [HDD] # NTFS
D:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{51600261-a786-11de-bf24-002268067704}
Shell\AutoRun\Command = pllq.exe
Shell\open\Command = pllq.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{f7b40638-4227-11df-b3c7-002268067704}
Shell\AutoRun\Command = F:\USBAutoRun.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Relance USBfix avec l'option " Suppression " cette fois et poste moi le rapport

Oups sorry !!



############################## | UsbFix 7.014 | [Suppression]

Utilisateur: franck et valou (Administrateur) # PC-DE-FRANCKETV [PACKARD BELL BV IMEDIA D2600]
Mis à jour le 24/06/10 par El Desaparecido / C_XX
Lancé à 21:46:32 | 25/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
CPU 2: Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18928

Pare-feu Windows: Activé
RAM -> 3070 Mo
C:\ (%systemdrive%) -> Disque fixe # 584 Go (434 Go libre(s) - 74%) [HDD] # NTFS
D:\ -> CD-ROM
K:\ -> Disque amovible # 4 Go (4 Go libre(s) - 99%) [] # FAT32

################## | Éléments infectieux |


################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{51600261-a786-11de-bf24-002268067704}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f7b40638-4227-11df-b3c7-002268067704}

################## | Listing |

[25/06/2010 - 21:47:59 | SHD ] C:\$Recycle.Bin
[18/09/2006 - 23:43:36 | A | 24] C:\autoexec.bat
[06/07/2009 - 13:09:51 | SHD ] C:\boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[10/09/2008 - 19:01:49 | RAS | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 23:43:37 | A | 10] C:\config.sys
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[10/09/2008 - 18:56:51 | D ] C:\drivers
[20/12/2008 - 01:27:37 | D ] C:\Garmin
[20/05/2010 - 15:40:24 | A | 921624] C:\img2-001.raw
[19/02/2010 - 15:23:15 | A | 921624] C:\img2-002.raw
[10/09/2008 - 09:49:18 | RHD ] C:\MSOCache
[10/01/2010 - 00:31:44 | D ] C:\My Download Files
[10/01/2010 - 00:31:58 | D ] C:\My Games
[10/01/2010 - 00:32:13 | D ] C:\MyBuy
[25/06/2010 - 07:05:01 | ASH | 3533193216] C:\pagefile.sys
[21/01/2008 - 04:32:31 | D ] C:\PerfLogs
[01/11/2009 - 19:53:08 | D ] C:\Poker
[25/06/2010 - 21:17:37 | RD ] C:\Program Files
[01/04/2010 - 22:04:12 | HD ] C:\ProgramData
[25/06/2010 - 21:18:05 | D ] C:\rsit
[24/06/2010 - 23:44:50 | SHD ] C:\System Volume Information
[25/06/2010 - 21:48:00 | D ] C:\UsbFix
[25/06/2010 - 21:46:32 | A | 2484] C:\UsbFix.txt
[03/04/2010 - 13:33:25 | RD ] C:\Users
[24/06/2010 - 07:58:21 | D ] C:\Windows
[21/05/2010 - 19:30:42 | R | 5410008] D:\01-Intro.wav
[06/03/2010 - 09:06:16 | R | 20708574] D:\01-eluveitie-otherworld.wav
[21/05/2010 - 19:30:46 | R | 41532122] D:\02-Move It.wav
[06/03/2010 - 09:06:24 | R | 46794482] D:\02-eluveitie-everything_remains_as_it_never_was.wav
[21/05/2010 - 19:30:49 | R | 35703014] D:\03-Blue Eyed Black Boy.wav
[06/03/2010 - 09:06:28 | R | 35334368] D:\03-eluveitie-thousandfold.wav
[21/05/2010 - 19:30:53 | R | 43808484] D:\04-Marcha De La Vida.wav
[06/03/2010 - 09:06:34 | R | 39380182] D:\04-eluveitie-nil.wav
[21/05/2010 - 19:30:57 | R | 40228072] D:\05-Dancing With The Moon.wav
[21/05/2010 - 19:31:02 | R | 39564510] D:\06-Kabulectro.wav
[21/05/2010 - 19:31:07 | R | 43412186] D:\07-My Baby.wav
[06/03/2010 - 09:06:49 | R | 35670758] D:\07-eluveitie-kingdom_come_undone.wav
[21/05/2010 - 19:31:10 | R | 35260636] D:\08-Balcumbia.wav
[21/05/2010 - 19:31:15 | R | 37076192] D:\09-Look Them Act.wav
[21/05/2010 - 19:31:19 | R | 40481500] D:\10-Smatron.wav
[21/05/2010 - 19:31:22 | R | 38149856] D:\11-Lijepa Mare.wav
[21/05/2010 - 19:31:26 | R | 32965848] D:\12-Why.wav
[21/05/2010 - 19:31:32 | R | 49264348] D:\13-Buhala.wav
[21/05/2010 - 19:31:35 | R | 33187038] D:\14-War Again.wav
[13/04/2009 - 14:16:58 | D ] K:\DCIM
[13/04/2009 - 14:16:58 | D ] K:\MISC

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4240

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

25/06/2010 22:46:39
mbam-log-2010-06-25 (22-46-39).txt

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|H:\|I:\|K:\|)
Elément(s) analysé(s): 257595
Temps écoulé: 47 minute(s), 30 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

A priori rien de notable !!??

https://www.cjoint.com/?gzxrESvKMj
https://www.cjoint.com/?gzxscoF8E2

je n'arrive pas a copier le rapport.
Je te joins le lien pour y parvenir
http://www.virustotal.com/fr/analisis/38436c04cf85665256d27c1bb307d24f0e8bf5694c3160d3eb3a74b963d2a09e-1277501742

http://www.virustotal.com/fr/analisis/38436c04cf85665256d27c1bb307d24f0e8bf5694c3160d3eb3a74b963d2a09e-1277501742

https://www.cjoint.com/?gzx5VtJD1O

======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 00:01:10 le 26/06/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
franck et valou@PC-DE-FRANCKETV (PACKARD BELL BV IMEDIA D2600)

============== ACTION(S) ==============


0,Fichier supprimé: C:\Windows\system32\wbem\Performance\WmiApRpl_new.ini

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\franck et valou\AppData\Roaming\Mozilla\FireFox\Profiles\6puhpz5k.default\Prefs.js --
Ligne supprimée: user_pref("CT1460988.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT1460988.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT146...
Ligne supprimée: user_pref("CT1460988.ct1670222.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=U...
Ligne supprimée: user_pref("CT1460988.myStuffSearchUrl", "hxxp://search.conduit.com/Results.aspx?q=SEARCH_TERM&ctid=E...
-- Fichier Fermé --


0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKLM\Software\Titan Poker
0,Clé supprimée: HKCU\Software\Titan Poker
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.4 (fr)] **

-- C:\Users\franck et valou\AppData\Roaming\Mozilla\FireFox\Profiles\6puhpz5k.default\Prefs.js --
browser.download.dir, C:\\Users\\franck et valou\\Downloads
browser.download.lastDir, C:\\Users\\franck et valou\\Desktop
browser.search.defaultenginename, Search the web (Babylon)
browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
browser.search.selectedEngine, Wikipédia (fr)
browser.startup.homepage, hxxp://www.google.fr/webhp?client=firefox-a&rls=org.mozilla:fr:official&channel=s&hl=fr&source...
browser.startup.homepage_override.mstone, rv:1.9.2.4
keyword.URL, hxxp://www.bing.com/search?FORM=IEFM1&q=

========================================

** Internet Explorer Version [8.0.6001.18928] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 26/06/2010 (3531 Octet(s))

Fin à: 00:04:03, 26/06/2010

============== E.O.F ==============

écoutes je te remercie pour ce soir.
J'attends une réponse de ta part et te répondrais dès demain.
Merci encore bonne nuit

Salut Xplode.
Quelques éléments.
Le pc s'allume beaucoup plus vite qu'avant ça c'est clair.
Par contre je suis parti courir, quand je suis revenu, impossible d'ouvrir firefox, outlook ni même d'éteindre ou redémarrer. Obliger de couper le jus pour redémarrer... Ca le faisait déjà avant la manip. Qu'est ce que tu en penses ?
Merci de me donner de ton temps. Franck

ok je m'en occupe merci

J'ai fait oltmovelt.
Ca m'a demandé de redemarrer ce que j'ai fait et impossible d'ouvrir le pc.
Ca m'a mis redemarrer avec l'outil de redemarrage systeme recommeande. Je l'ai fait.
Je recommence donc ?

Alors j'ai recommencé et c'est pareil.
Que faire ?
Merci

Re,

Laisse tomber otm et passe à la suite.

je lance l'analyse qui a priori va durer longtemps.
Je te recontacte plus tard.
Merci de ton aide

Quand je fais tools cleaner en quittant ca me met impossible d'afficher le rapport acces refusé

Lance le en tant qu'administrateur ( Clic droit -> exécuter en tant qu'administrateur )

Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Bien, passe à la suite maintenant.

https://www.cjoint.com/?gBnCHZZW7I

tu aurai le lien pour télécharger ZHPFix

Il se trouve normalement sur ton bureau, il est installé en même temps que ZHPDiag

ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 27/06/2010 19:24:59
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
HKCU\Software\F-Secure => Clé supprimée avec succès
HKLM\Software\Panda Software => Clé supprimée avec succès
HKCU\Software\Kazaa => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
c:\users\franck et valou\appdata\local\google\google desktop\d42aba23f929\dbeao => Fichier supprimé au reboot
c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 3
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 2
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

D'après toi là c'est nickel ?

Salut xplode.
En effet il y a du mieux c'est clair.Je n'ai pas trop passé de temps dessus ce weekend donc j'attends de t'en dire plus.
En tout cas merci de ton aide et ta patience.
A bientôt

Franck

Bon ben c'est encore moi.
Même problème, je n'ai pas pu démarrer mon pc...
Donc coupure, puis page de réparation du démarrage, "votre ordinateur n'a pas pu démarrer..." donc restauration système etc etc... as tu une idée ??

Ok, suis ce tutoriel.

c 'est fait cette nuit !!

C'est bon maintenant?

J'exagère pas quand je te dis 3/4 d'heure.
J'ai réussi a l'ouvrir en mode sans échec puis normalement après...
Je fais tout ce que tu m'as dit tout de suite !!
Merci @+

Rapport tools


[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Program Files\ZHPDiag(45)\mbr.log: trouvé !
C:\UsbFix\UsbFix.exe: trouvé !
C:\Users\franck et valou\Downloads\Rsit.exe: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files\trend micro\HijackThis.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\ZHPDiag\ZHPdiag.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\ZHPDiag\catchme.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\ZHPDiag\mbr.log: ERREUR DE SUPPRESSION !!
C:\Program Files\ZHPDiag\mbr.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\ZHPDiag(45)\mbr.log: ERREUR DE SUPPRESSION !!
C:\UsbFix\UsbFix.exe: supprimé !
C:\Users\franck et valou\Downloads\Rsit.exe: supprimé !
C:\UsbFix: supprimé !
C:\Program Files\Ad-remover: ERREUR DE SUPPRESSION !!
C:\Program Files\ZHPDiag: ERREUR DE SUPPRESSION !!

Relance le en tant qu'administrateur ( clic droit sur l'icône -> exécuter en tant qu'administrateur )

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Program Files\ZHPDiag(45)\mbr.log: trouvé !

---------------------------------
--> Suppression:

C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Program Files\ZHPDiag(45)\mbr.log: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Ok j'ai tout fait !!!
J'attends de voir et je t'en dis plus, plus tard.
Merci