Encore un Iexplore en double à résoudre....
Résolu/Fermé
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
-
12 juil. 2010 à 16:11
M@thew - 16 juil. 2010 à 15:02
M@thew - 16 juil. 2010 à 15:02
A voir également:
- Encore un Iexplore en double à résoudre....
- Double ecran - Guide
- Whatsapp double sim - Guide
- Double appel - Guide
- Double authentification google - Guide
- Double boot - Guide
52 réponses
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
12 juil. 2010 à 16:12
12 juil. 2010 à 16:12
Bonjour,
[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !
[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !
[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.
-+-+-+-+-> ZHPDiag <-+-+-+-+-
[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).
[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\
[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )
[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).
[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.
[x] Rend toi sur cjoint puis clique sur " Parcourir ".
[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".
[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
12 juil. 2010 à 16:25
12 juil. 2010 à 16:25
https://www.cjoint.com/?hmqxuw4YKc
Ci-dessus le lien demandé! J'attends la suite , merci beaucoup!!!
Ci-dessus le lien demandé! J'attends la suite , merci beaucoup!!!
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
12 juil. 2010 à 16:27
12 juil. 2010 à 16:27
Ok, plusieurs infections ...
-+-+-+-+-> AD-Remover <-+-+-+-+-
[x] Télécharge AD-Remover ( de C_XX ).
[x] Lance AD-Remover puis choisis l'option " Nettoyer ".
Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "
[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message
[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
[HKCU\Software\yhhhxnitkp]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:1030
O51 - MPSK:{305cb730-65db-11df-afd1-002275aaeb61}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\Seagate\Installer\InstallSeagateManager.exe (.not file.)
O64 - Services: CurCS - (.not file.) - {15176DE0-3A36-4F2C-97CE7017A58FD2D6} ({15176DE0-3A36-4F2C-97CE7017A58FD2D6}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{15176DE0-3A36-4F2C-97CE7017A58FD2D6}
O64 - Services: CurCS - (.not file.) - {3844FC7C-3993-4987-930C55BDD01423B8} ({3844FC7C-3993-4987-930C55BDD01423B8}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{3844FC7C-3993-4987-930C55BDD01423B8}
O64 - Services: CurCS - (.not file.) - {ABD098A7-6F20-4022-869A07A29BCA5477} ({ABD098A7-6F20-4022-869A07A29BCA5477}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{ABD098A7-6F20-4022-869A07A29BCA5477}
MBRFix
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
-+-+-+-+-> AD-Remover <-+-+-+-+-
[x] Télécharge AD-Remover ( de C_XX ).
[x] Lance AD-Remover puis choisis l'option " Nettoyer ".
Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "
[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message
[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
-+-+-+-+-> ZHPFix <-+-+-+-+-
/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\
[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".
[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]
[HKCU\Software\yhhhxnitkp]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:1030
O51 - MPSK:{305cb730-65db-11df-afd1-002275aaeb61}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\Seagate\Installer\InstallSeagateManager.exe (.not file.)
O64 - Services: CurCS - (.not file.) - {15176DE0-3A36-4F2C-97CE7017A58FD2D6} ({15176DE0-3A36-4F2C-97CE7017A58FD2D6}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{15176DE0-3A36-4F2C-97CE7017A58FD2D6}
O64 - Services: CurCS - (.not file.) - {3844FC7C-3993-4987-930C55BDD01423B8} ({3844FC7C-3993-4987-930C55BDD01423B8}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{3844FC7C-3993-4987-930C55BDD01423B8}
O64 - Services: CurCS - (.not file.) - {ABD098A7-6F20-4022-869A07A29BCA5477} ({ABD098A7-6F20-4022-869A07A29BCA5477}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{ABD098A7-6F20-4022-869A07A29BCA5477}
MBRFix
[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]
[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.
[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
12 juil. 2010 à 16:44
12 juil. 2010 à 16:44
Merci ! Comme demandé voilà la suite:
Le rapport AD-Remover:
======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:31:41 le 12/07/2010, Mode normal
Microsoft Windows XP Professionnel Service Pack 3 (X86)
Utilisateur@ORDINATEUR ( )
============== ACTION(S) ==============
0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js
0,Dossier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\AskSearch
0,Fichier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\ASKSUTBLOG
0,Fichier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\liveplayer_exe.dat
0,Fichier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\liveplayer_skin.dat
0,Dossier supprimé: C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Documents and Settings\Utilisateur\Application Data\live-player
0,Dossier supprimé: C:\Documents and Settings\HelpAssistant\Application Data\live-player
0,Dossier supprimé: C:\Program Files\SGPSA
(!) -- Fichiers temporaires supprimés.
1,Clé supprimée: HKLM\Software\Classes\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
0,Clé supprimée: HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook
0,Clé supprimée: HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\FBSearch
0,Clé supprimée: HKCU\Software\fcn
0,Clé supprimée: HKCU\Software\SGPUpdater
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8FBD5EC1-2FFF-4FDA-9865-B2FA730C60D0}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E43BE53C-D575-499f-92C2-2BFFC6FA5366}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus Updater
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [Impossible d'obtenir la version] **
-- C:\Documents and Settings\Utilisateur\Application Data\Mozilla\FireFox\Profiles\1ja63xgl.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.0.13
========================================
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS.0\system32\blank.htm
SearchAssistant:
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS.0\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 14 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 12/07/2010 (1257 Octet(s))
Fin à: 16:33:54, 12/07/2010
============== E.O.F ==============
Et le rapport ZHPfix:
Rapport de ZHPFix v1.12.3120 par Nicolas Coolman, Update du 11/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-12-07-2010-16-39-51.txt
Run by Utilisateur at 12/07/2010 16:39:51
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\yhhhxnitkp => Clé supprimée avec succès
O51 - MPSK:{305cb730-65db-11df-afd1-002275aaeb61}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\Seagate\Installer\InstallSeagateManager.exe (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - {15176DE0-3A36-4F2C-97CE7017A58FD2D6} ({15176DE0-3A36-4F2C-97CE7017A58FD2D6}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{15176DE0-3A36-4F2C-97CE7017A58FD2D6} => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - {3844FC7C-3993-4987-930C55BDD01423B8} ({3844FC7C-3993-4987-930C55BDD01423B8}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{3844FC7C-3993-4987-930C55BDD01423B8} => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - {ABD098A7-6F20-4022-869A07A29BCA5477} ({ABD098A7-6F20-4022-869A07A29BCA5477}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{ABD098A7-6F20-4022-869A07A29BCA5477} => Clé supprimée avec succès
========== Elément de données du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:1030 => Donnée supprimée avec succès
========== Fichier ==========
g:\seagate\installer\installseagatemanager.exe => Fichier absent
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sphp.sys >>UNKNOWN [0x86574938]<<
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A19000
malicious code @ sector 0x012A19003 !
PE file found in sector at 0x012A19019 !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A19000
malicious code @ sector 0x012A19003 !
PE file found in sector at 0x012A19019 !
========== Récapitulatif ==========
5 : Clé du Registre
1 : Elément de données du Registre
1 : Fichier
1 :Master Boot Record
End of the scan
Voilà, qu'en pensez-vous?
Le rapport AD-Remover:
======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par C_XX le 23/06/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:31:41 le 12/07/2010, Mode normal
Microsoft Windows XP Professionnel Service Pack 3 (X86)
Utilisateur@ORDINATEUR ( )
============== ACTION(S) ==============
0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js
0,Dossier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\AskSearch
0,Fichier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\ASKSUTBLOG
0,Fichier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\liveplayer_exe.dat
0,Fichier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\liveplayer_skin.dat
0,Dossier supprimé: C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Conduit
0,Dossier supprimé: C:\Documents and Settings\Utilisateur\Application Data\live-player
0,Dossier supprimé: C:\Documents and Settings\HelpAssistant\Application Data\live-player
0,Dossier supprimé: C:\Program Files\SGPSA
(!) -- Fichiers temporaires supprimés.
1,Clé supprimée: HKLM\Software\Classes\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
1,Clé supprimée: HKLM\Software\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
0,Clé supprimée: HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook
0,Clé supprimée: HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\Conduit
0,Clé supprimée: HKCU\Software\FBSearch
0,Clé supprimée: HKCU\Software\fcn
0,Clé supprimée: HKCU\Software\SGPUpdater
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8FBD5EC1-2FFF-4FDA-9865-B2FA730C60D0}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E43BE53C-D575-499f-92C2-2BFFC6FA5366}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus Updater
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
============== SCAN ADDITIONNEL ==============
** Mozilla Firefox Version [Impossible d'obtenir la version] **
-- C:\Documents and Settings\Utilisateur\Application Data\Mozilla\FireFox\Profiles\1ja63xgl.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.0.13
========================================
** Internet Explorer Version [8.0.6001.18702] **
[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS.0\system32\blank.htm
SearchAssistant:
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS.0\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
========================================
C:\Program Files\Ad-Remover\Quarantine: 14 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 12/07/2010 (1257 Octet(s))
Fin à: 16:33:54, 12/07/2010
============== E.O.F ==============
Et le rapport ZHPfix:
Rapport de ZHPFix v1.12.3120 par Nicolas Coolman, Update du 11/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-12-07-2010-16-39-51.txt
Run by Utilisateur at 12/07/2010 16:39:51
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé du Registre ==========
HKCU\Software\yhhhxnitkp => Clé supprimée avec succès
O51 - MPSK:{305cb730-65db-11df-afd1-002275aaeb61}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\Seagate\Installer\InstallSeagateManager.exe (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - {15176DE0-3A36-4F2C-97CE7017A58FD2D6} ({15176DE0-3A36-4F2C-97CE7017A58FD2D6}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{15176DE0-3A36-4F2C-97CE7017A58FD2D6} => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - {3844FC7C-3993-4987-930C55BDD01423B8} ({3844FC7C-3993-4987-930C55BDD01423B8}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{3844FC7C-3993-4987-930C55BDD01423B8} => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - {ABD098A7-6F20-4022-869A07A29BCA5477} ({ABD098A7-6F20-4022-869A07A29BCA5477}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{ABD098A7-6F20-4022-869A07A29BCA5477} => Clé supprimée avec succès
========== Elément de données du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:1030 => Donnée supprimée avec succès
========== Fichier ==========
g:\seagate\installer\installseagatemanager.exe => Fichier absent
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sphp.sys >>UNKNOWN [0x86574938]<<
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A19000
malicious code @ sector 0x012A19003 !
PE file found in sector at 0x012A19019 !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x012A19000
malicious code @ sector 0x012A19003 !
PE file found in sector at 0x012A19019 !
========== Récapitulatif ==========
5 : Clé du Registre
1 : Elément de données du Registre
1 : Fichier
1 :Master Boot Record
End of the scan
Voilà, qu'en pensez-vous?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
12 juil. 2010 à 16:46
12 juil. 2010 à 16:46
Bien, on a fait du ménage :)
On continue :
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
On continue :
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
12 juil. 2010 à 19:14
12 juil. 2010 à 19:14
Bien! Après deux bonnes heures, MBAM a fini, je vous copie/colle le rapport: (juste pour que vous sachiez ce qu'il se passe sur mon ordinateur, j'ai toujours les deux iexplore et les détournements aléatoires de pages internet).
Le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12/07/2010 19:03:22
mbam-log-2010-07-12 (19-03-22).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 342474
Temps écoulé: 2 heure(s), 11 minute(s), 43 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Voilà tout! Je vous attends pour la suite (merci encore pour votre patience)
Le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
12/07/2010 19:03:22
mbam-log-2010-07-12 (19-03-22).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 342474
Temps écoulé: 2 heure(s), 11 minute(s), 43 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Voilà tout! Je vous attends pour la suite (merci encore pour votre patience)
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
12 juil. 2010 à 19:17
12 juil. 2010 à 19:17
Ah et oui en changement: le centre de sécurité windows est apparament réapparu dans la barre en bas à droite de l'écran! (visiblement, ce qu'a détecté MBAM touchait à ça).
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
12 juil. 2010 à 19:30
12 juil. 2010 à 19:30
-+-+-+-+-> Bootkit Remover <-+-+-+-+-
[x] Télécharge Bootkit Remover et décompresse le sur ton bureau.
[x] Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.
Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe
[x] Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]
[x] Suis les instructions et copie/colle le rapport dans ta prochaine réponse.
[x] Télécharge Bootkit Remover et décompresse le sur ton bureau.
[x] Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.
Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe
[x] Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]
[x] Suis les instructions et copie/colle le rapport dans ta prochaine réponse.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
12 juil. 2010 à 19:35
12 juil. 2010 à 19:35
Juste avant de commencer à faire ce que vous me proposez dans le dernier message, je voulais juste vous montrer l'attaque que j'ai eu en allant sur facebook à l'instant (page détournée sur un des faux sites que je vous disais au début). En gros, l'ordi rame moins, mais ces attaques se font plus nombreuses on dirait...
https://www.cjoint.com/?hmtIphSlrI
(photo de l'intervention d'AVG).
Je me lance tout de même dans l'étape Bootkit Remover?
https://www.cjoint.com/?hmtIphSlrI
(photo de l'intervention d'AVG).
Je me lance tout de même dans l'étape Bootkit Remover?
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
12 juil. 2010 à 19:38
12 juil. 2010 à 19:38
Oui.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
12 juil. 2010 à 19:45
12 juil. 2010 à 19:45
Le rapport ne se copie pas. En fait, je lance BTKR, 1, entrée, immédiatement un son de type "erreur" retentit, en même temps s'ouvre une fenêtre qui me demande de faire un clic droit/coller pour afficher le rapport, ce que je fais, mais rien ne s'affiche. Est-ce normal?
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
12 juil. 2010 à 20:06
12 juil. 2010 à 20:06
Non rien à faire, le rapport ne veut pas s'écrire. Vous avez une idée du pourquoi?
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 12:28
13 juil. 2010 à 12:28
Xplode vous avez abandonné le navire?
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 juil. 2010 à 12:50
13 juil. 2010 à 12:50
Non, je n'ai pas abandonné le navire.
Lance Remover.exe directement.
Lance Remover.exe directement.
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 13:25
13 juil. 2010 à 13:25
Au temps pour moi!
Il s'ouvre et se referme instantanément, avec le même son "erreur". Un lien avec mon antivirus peut être?
Il s'ouvre et se referme instantanément, avec le même son "erreur". Un lien avec mon antivirus peut être?
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 juil. 2010 à 13:26
13 juil. 2010 à 13:26
Essaie en le désactivant. Sinon on fera autrement :)
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 13:32
13 juil. 2010 à 13:32
Non ça fait la même chose :/ ...
Xplode
Messages postés
8820
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
726
13 juil. 2010 à 13:33
13 juil. 2010 à 13:33
Tu as ton CD d'XP?
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 13:36
13 juil. 2010 à 13:36
Non, j'avais acheté l'ordinateur sous vista, suite à un gros problème, un informaticien m'avait remis XP, donc je n'ai pas le cd d'XP, et Vista je n'ai pas le souvenir qu'un cd ait été fourni avec l'ordi
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 13:44
13 juil. 2010 à 13:44
Si! J'ai trouvé le CD de Vista je crois, "Restauration du système, pour distribution avec un nouveau toshiba pc" avec en dessous "Windows Vista Home Premium 32bits".
(Mais j'ai un mauvais souvenir de Vista)
(Mais j'ai un mauvais souvenir de Vista)
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
Modifié par martbass le 13/07/2010 à 15:36
Modifié par martbass le 13/07/2010 à 15:36
C'est encore moi, j'ai un peu de nouveau (un peu inquiétant d'ailleurs!),
J'avais mal désactivé l'antivirus, une fois fait, j'ai relancé BTKR, le même problème que précédemment est survenu, mais cette fois-ci, le son "d'erreur" n'était plus seul, mais accompagné d'une fenêtre d'erreur. Idem pour Remover!
Je vous ai pris une photo d'écran de ce à quoi ça ressemble:
https://www.cjoint.com/?hnpyjvICkZ
Voilà, tenez moi au courant si vous avez une idée. Merci beaucoup encore
(petit rajout!) si ça peut servir, voici deux des quelques adresses douteuses sur lesquelles je suis renvoyé assez souvent:
https://www.afternic.com/domains/contentomania.com
http://effectivemanager.in/x/?src=kostes&id=videos&o=o&ID=20639&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU16RTNPRFF3SWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9pTVRJeE1UUTFJanR6T2pRNkltdHdjR2tpTzNNNk5Ub2lOakkyTURZaU8zMXpPak02SW0xa05TSTdjem96TWpvaU56RTNOV015TkRoa016WTRZbVJsWkdFMllUVmtPREJtTkRKalkySmtNaklpTzMwPQ%3D%3D
La seconde déclenche un "java6" qui entraine une alerte de mise en quarantaine d'un virus par AVG.
Voilà!
J'avais mal désactivé l'antivirus, une fois fait, j'ai relancé BTKR, le même problème que précédemment est survenu, mais cette fois-ci, le son "d'erreur" n'était plus seul, mais accompagné d'une fenêtre d'erreur. Idem pour Remover!
Je vous ai pris une photo d'écran de ce à quoi ça ressemble:
https://www.cjoint.com/?hnpyjvICkZ
Voilà, tenez moi au courant si vous avez une idée. Merci beaucoup encore
(petit rajout!) si ça peut servir, voici deux des quelques adresses douteuses sur lesquelles je suis renvoyé assez souvent:
https://www.afternic.com/domains/contentomania.com
http://effectivemanager.in/x/?src=kostes&id=videos&o=o&ID=20639&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU16RTNPRFF3SWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9pTVRJeE1UUTFJanR6T2pRNkltdHdjR2tpTzNNNk5Ub2lOakkyTURZaU8zMXpPak02SW0xa05TSTdjem96TWpvaU56RTNOV015TkRoa016WTRZbVJsWkdFMllUVmtPREJtTkRKalkySmtNaklpTzMwPQ%3D%3D
La seconde déclenche un "java6" qui entraine une alerte de mise en quarantaine d'un virus par AVG.
Voilà!
martbass
Messages postés
69
Date d'inscription
lundi 12 juillet 2010
Statut
Membre
Dernière intervention
30 janvier 2012
13 juil. 2010 à 15:42
13 juil. 2010 à 15:42
Bon non là y'a un gros gros gros problème! Des pop-ups s'ouvrent sans cesse! des fenetres noires aussi (photo jointe) avec des tirés-bas qui font des petits dessins, des messages d'erreurs, des pop-ups de pub pour "Antimalware Doctor" etc... tout ça est arrivé d'un coup à l'instant!
https://www.cjoint.com/?hnpQEVKMOv
https://www.cjoint.com/?hnpQEVKMOv