Encore un Iexplore en double à résoudre.... Résolu/Fermé

Question

Bonjour à tous,

Je suis désolé de venir vous embêter à nouveau avec ce sujet qui a été traité maintes et maintes fois sur tous les forums informatiques et parfois même sur des forums pas du tout axés sur l'informatique!

J'ai tourné et retourné les pages, mais je n'ose pas tenter les différentes manips car j'ai l'impression que chaque cas est un peu spécifique.... Eh oui, je suis un newbie de chez newbie...

Je fais appel à votre générosité pour m'aider, pour éliminer ces iexplore permanents dans le gestionnaire des tâches, qui me ralentissent énormément mon portable, et m'envoient régulièrement lors de recherches sur google sur des moteurs de recherche douteux, ou encore sur un page qui lance "java6" (avant qu'AVG ne bloque une intrusion), ou encore même sur une page qui m'ouvre windows média player avec un virus également....

Je ne m'y connais pas beaucoup en info, donc n'hésitez pas à me poser des questions si je n'ai pas été très clair, j'attends votre aide car je ne sais pas quoi faire....
Merci beaucoup d'avance!

Xplode · Answer

Bonjour,

[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

martbass · Answer

https://www.cjoint.com/?hmqxuw4YKc

Ci-dessus le lien demandé! J'attends la suite , merci beaucoup!!!

Xplode · Answer

Ok, plusieurs infections ... -+-+-+-+-> AD-Remover <-+-+-+-+- [x] Télécharge AD-Remover ( de C_XX ). [x] Lance AD-Remover puis choisis l'option " Nettoyer ". Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur " [x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message [x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt -+-+-+-+-> ZHPFix <-+-+-+-+- /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\ [x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ". [x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok] [HKCU\Software\yhhhxnitkp] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:1030 O51 - MPSK:{305cb730-65db-11df-afd1-002275aaeb61}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\Seagate\Installer\InstallSeagateManager.exe (.not file.) O64 - Services: CurCS - (.not file.) - {15176DE0-3A36-4F2C-97CE7017A58FD2D6} ({15176DE0-3A36-4F2C-97CE7017A58FD2D6}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{15176DE0-3A36-4F2C-97CE7017A58FD2D6} O64 - Services: CurCS - (.not file.) - {3844FC7C-3993-4987-930C55BDD01423B8} ({3844FC7C-3993-4987-930C55BDD01423B8}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{3844FC7C-3993-4987-930C55BDD01423B8} O64 - Services: CurCS - (.not file.) - {ABD098A7-6F20-4022-869A07A29BCA5477} ({ABD098A7-6F20-4022-869A07A29BCA5477}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{ABD098A7-6F20-4022-869A07A29BCA5477} MBRFix [x] Clique maintenant sur [Tous] , puis sur [Nettoyer] [x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message. [x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

martbass · Answer

Merci ! Comme demandé voilà la suite: Le rapport AD-Remover: ======= RAPPORT D'AD-REMOVER 2.0.0.1,C | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par C_XX le 23/06/10 à 19:20 Contact: AdRemover.contact@gmail.com Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:31:41 le 12/07/2010, Mode normal Microsoft Windows XP Professionnel Service Pack 3 (X86) Utilisateur@ORDINATEUR ( ) ============== ACTION(S) ============== 0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js 0,Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js 0,Dossier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\AskSearch 0,Fichier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\ASKSUTBLOG 0,Fichier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\liveplayer_exe.dat 0,Fichier supprimé: C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\liveplayer_skin.dat 0,Dossier supprimé: C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Conduit 0,Dossier supprimé: C:\Documents and Settings\Utilisateur\Application Data\live-player 0,Dossier supprimé: C:\Documents and Settings\HelpAssistant\Application Data\live-player 0,Dossier supprimé: C:\Program Files\SGPSA (!) -- Fichiers temporaires supprimés. 1,Clé supprimée: HKLM\Software\Classes\CLSID\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} 1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} 1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} 1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8A9D74F9-560B-4FE7-ABEB-3B2E638E5CD6} 1,Clé supprimée: HKLM\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0} 1,Clé supprimée: HKLM\Software\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695} 1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695} 1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F0626A63-410B-45E2-99A1-3F2475B2D695} 1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695} 1,Clé supprimée: HKLM\Software\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B} 1,Clé supprimée: HKLM\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D} 1,Clé supprimée: HKLM\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D} 0,Clé supprimée: HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook 0,Clé supprimée: HKLM\Software\Classes\urlsearchhook.toolbarurlsearchhook.1 0,Clé supprimée: HKLM\Software\Conduit 0,Clé supprimée: HKCU\Software\Conduit 0,Clé supprimée: HKCU\Software\FBSearch 0,Clé supprimée: HKCU\Software\fcn 0,Clé supprimée: HKCU\Software\SGPUpdater 3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{8FBD5EC1-2FFF-4FDA-9865-B2FA730C60D0} 3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E43BE53C-D575-499f-92C2-2BFFC6FA5366} 0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus 0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Search Guard Plus Updater 0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} ============== SCAN ADDITIONNEL ============== ** Mozilla Firefox Version [Impossible d'obtenir la version] ** -- C:\Documents and Settings\Utilisateur\Application Data\Mozilla\FireFox\Profiles\1ja63xgl.default\Prefs.js -- browser.startup.homepage_override.mstone, rv:1.9.0.13 ======================================== ** Internet Explorer Version [8.0.6001.18702] ** [HKCU\Software\Microsoft\Internet Explorer\Main] Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Do404Search: 0x01000000 Enable Browser Extensions: yes Local Page: C:\WINDOWS.0\system32\blank.htm SearchAssistant: Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896 Show_ToolBar: yes Start Page: hxxp://fr.msn.com/ [HKLM\Software\Microsoft\Internet Explorer\Main] Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896 Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Delete_Temp_Files_On_Exit: yes Local Page: C:\WINDOWS.0\system32\blank.htm Search bar: hxxp://search.msn.com/spbasic.htm Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Start Page: hxxp://fr.msn.com/ [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] Tabs: res://ieframe.dll/tabswelcome.htm Blank: res://mshtml.dll/blank.htm ======================================== C:\Program Files\Ad-Remover\Quarantine: 14 Fichier(s) C:\Program Files\Ad-Remover\Backup: 13 Fichier(s) C:\Ad-Report-CLEAN[1].txt - 12/07/2010 (1257 Octet(s)) Fin à: 16:33:54, 12/07/2010 ============== E.O.F ============== Et le rapport ZHPfix: Rapport de ZHPFix v1.12.3120 par Nicolas Coolman, Update du 11/07/2010 Fichier d'export Registre : C:\ZHPExportRegistry-12-07-2010-16-39-51.txt Run by Utilisateur at 12/07/2010 16:39:51 Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr ========== Clé du Registre ========== HKCU\Software\yhhhxnitkp => Clé supprimée avec succès O51 - MPSK:{305cb730-65db-11df-afd1-002275aaeb61}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\Seagate\Installer\InstallSeagateManager.exe (.not file.) => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - {15176DE0-3A36-4F2C-97CE7017A58FD2D6} ({15176DE0-3A36-4F2C-97CE7017A58FD2D6}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{15176DE0-3A36-4F2C-97CE7017A58FD2D6} => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - {3844FC7C-3993-4987-930C55BDD01423B8} ({3844FC7C-3993-4987-930C55BDD01423B8}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{3844FC7C-3993-4987-930C55BDD01423B8} => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - {ABD098A7-6F20-4022-869A07A29BCA5477} ({ABD098A7-6F20-4022-869A07A29BCA5477}) .(.Pas de propriétaire - Pas de description.) - LEGACY_{ABD098A7-6F20-4022-869A07A29BCA5477} => Clé supprimée avec succès ========== Elément de données du Registre ========== R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:1030 => Donnée supprimée avec succès ========== Fichier ========== g:\seagate\installer\installseagatemanager.exe => Fichier absent ========== Master Boot Record ========== Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sphp.sys >>UNKNOWN [0x86574938]<< kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x012A19000 malicious code @ sector 0x012A19003 ! PE file found in sector at 0x012A19019 ! Resultat après le fix : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK copy of MBR has been found in sector 0x012A19000 malicious code @ sector 0x012A19003 ! PE file found in sector at 0x012A19019 ! ========== Récapitulatif ========== 5 : Clé du Registre 1 : Elément de données du Registre 1 : Fichier 1 :Master Boot Record End of the scan Voilà, qu'en pensez-vous?

Xplode · Answer

Bien, on a fait du ménage :)

On continue :

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

martbass · Answer

Bien! Après deux bonnes heures, MBAM a fini, je vous copie/colle le rapport: (juste pour que vous sachiez ce qu'il se passe sur mon ordinateur, j'ai toujours les deux iexplore et les détournements aléatoires de pages internet).

Le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/07/2010 19:03:22
mbam-log-2010-07-12 (19-03-22).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 342474
Temps écoulé: 2 heure(s), 11 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Voilà tout! Je vous attends pour la suite (merci encore pour votre patience)

martbass · Answer

Ah et oui en changement: le centre de sécurité windows est apparament réapparu dans la barre en bas à droite de l'écran! (visiblement, ce qu'a détecté MBAM touchait à ça).

Xplode · Answer

-+-+-+-+-> Bootkit Remover <-+-+-+-+-


[x] Télécharge Bootkit Remover et décompresse le sur ton bureau.

[x] Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.

Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe

[x] Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]

[x] Suis les instructions et copie/colle le rapport dans ta prochaine réponse.

martbass · Answer

Juste avant de commencer à faire ce que vous me proposez dans le dernier message, je voulais juste vous montrer l'attaque que j'ai eu en allant sur facebook à l'instant (page détournée sur un des faux sites que je vous disais au début). En gros, l'ordi rame moins, mais ces attaques se font plus nombreuses on dirait...

https://www.cjoint.com/?hmtIphSlrI

(photo de l'intervention d'AVG).

Je me lance tout de même dans l'étape Bootkit Remover?

Xplode · Answer

Oui.

martbass · Answer

Le rapport ne se copie pas. En fait, je lance BTKR, 1, entrée, immédiatement un son de type "erreur" retentit, en même temps s'ouvre une fenêtre qui me demande de faire un clic droit/coller pour afficher le rapport, ce que je fais, mais rien ne s'affiche. Est-ce normal?

martbass · Answer

Non rien à faire, le rapport ne veut pas s'écrire. Vous avez une idée du pourquoi?

martbass · Answer

Xplode vous avez abandonné le navire?

Xplode · Answer

Non, je n'ai pas abandonné le navire.

Lance Remover.exe directement.

martbass · Answer

Au temps pour moi!

Il s'ouvre et se referme instantanément, avec le même son "erreur". Un lien avec mon antivirus peut être?

Xplode · Answer

Tu as ton CD d'XP?

martbass · Answer

Non, j'avais acheté l'ordinateur sous vista, suite à un gros problème, un informaticien m'avait remis XP, donc je n'ai pas le cd d'XP, et Vista je n'ai pas le souvenir qu'un cd ait été fourni avec l'ordi

martbass · Answer

Si! J'ai trouvé le CD de Vista je crois, "Restauration du système, pour distribution avec un nouveau toshiba pc" avec en dessous "Windows Vista Home Premium 32bits".
(Mais j'ai un mauvais souvenir de Vista)

martbass · Answer

C'est encore moi, j'ai un peu de nouveau (un peu inquiétant d'ailleurs!), 

J'avais mal désactivé l'antivirus, une fois fait, j'ai relancé BTKR, le même problème que précédemment est survenu, mais cette fois-ci, le son "d'erreur" n'était plus seul, mais accompagné d'une fenêtre d'erreur. Idem pour Remover!  

Je vous ai pris une photo d'écran de ce à quoi ça ressemble: 

https://www.cjoint.com/?hnpyjvICkZ 

Voilà, tenez moi au courant si vous avez une idée. Merci beaucoup encore

(petit rajout!) si ça peut servir, voici deux des quelques adresses douteuses sur lesquelles je suis renvoyé assez souvent:

https://www.afternic.com/domains/contentomania.com
http://effectivemanager.in/x/?src=kostes&id=videos&o=o&ID=20639&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TmpvaU16RTNPRFF3SWp0ek9qRXlPaUpoWkhabGNuUnBjMlZmYVdRaU8zTTZOam9pTVRJeE1UUTFJanR6T2pRNkltdHdjR2tpTzNNNk5Ub2lOakkyTURZaU8zMXpPak02SW0xa05TSTdjem96TWpvaU56RTNOV015TkRoa016WTRZbVJsWkdFMllUVmtPREJtTkRKalkySmtNaklpTzMwPQ%3D%3D

La seconde déclenche un "java6" qui entraine une alerte de mise en quarantaine d'un virus par AVG.

Voilà!

martbass · Answer

Bon non là y'a un gros gros gros problème! Des pop-ups s'ouvrent sans cesse! des fenetres noires aussi (photo jointe) avec des tirés-bas qui font des petits dessins, des messages d'erreurs, des pop-ups de pub pour "Antimalware Doctor" etc... tout ça est arrivé d'un coup à l'instant!

 https://www.cjoint.com/?hnpQEVKMOv

Xplode · Answer

Ok, je vois...

On va essayer autrement.

Supprime BTKR_Runbox et Bootkit Remover. Ensuite Fais ceci :

-+-+-+-+-> Rkill <-+-+-+-+-


[x] Télécharge rkill sur ton bureau.

[x] Rkill peut être reconnu comme indésirable par certains antivirus, ignore l'alerte et désactive momentanément l'antivirus.

[x] Lance le, une fenêtre noire s'ouvrira t'indiquant que l'installation s'est bien déroulée.

[x] Note : Si le premier lien ne fonctionne pas, essaie ces trois autres : n°1 , n°2 et n°3

[x] /!\ Il ne faut pas redémarrer le PC après avoir lancé rkill, sinon il faudra recommencer la procédure /!\

[x] Poste le contenu du rapport qui s'ouvrira -> rkill.log

Puis Re-télécharge BTKR_Runbox ainsi que bootkit remover ( cf : lien post n°8 ) et refais la manip'.

martbass · Answer

Voici pour le rapport rkill:

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as Utilisateur on 13/07/2010 at 17:03:55. 


Processes terminated by Rkill or while it was running: 


C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\Jd1.exe
C:\Documents and Settings\Utilisateur\Bureau\rkill.scr


Rkill completed on 13/07/2010  at 17:04:04. 


Je vais maintenant essayer de relancer BTKR etc... Je vous tiens au courant!

martbass · Answer

Ca n'a pas marché, ça refait comme tout à l'heure (un son d'erreur avec une fenêtre qui m'avertit d'un danger et que du coup le programme ne fonctionnera plus, la photo d'écran que je vous avais posté vous savez).

Xplode · Answer

Rahlala, pas facile cette bestiole :)

Fais ceci :

-+-+-+-+-> ComboFix <-+-+-+- 


[x] Télécharge ComboFix ( de sUBs ) à cette adresse. 

/!\ Ferme toutes les fenêtres de programme ouvertes /!\ 

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ 

[x] Double clique sur " Combofix.exe " 

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

[x] Pendant le scan, ne touche à rien ( souris, clavier ) 

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

martbass · Answer

C'est de pire en pire j'ai l'impression. Je n'arrive pas à désintaller AVG, il y a un probleme lors de la désinstallation concernant une clé du registre, problème qui fait abandonner la désinstallation. En même temps, je ne peux pas le désactiver a priori. De plus, Antimalware Doctor s'est installé sur l'ordi tout seul. J'ai réactivé l'antivirus qui a bloqué quelques attaques, et juste pour voir j'ai lancé MBAM (qui a trouvé 13 éléments infectés mais qui n'a pas pu tous les enlever je crois). Je crois que désactiver le bouclier résident d'AVG a fait très mal...

Connaissez-vous un moyen de forcer la désinstallation d'AVG? Ou mieux, de forcer sa désactivation? Sinon, faut-il absolument que l'antivirus soit désactivé pour que Combofix puisse fonctionner correctement?
Je suis vraiment désolé que ça vous prenne autant de votre temps...

Xplode · Answer

Lance Combofix quand même, c'est pas très grave ;-)

martbass · Answer

Voici le rapport de Combofix: 

ComboFix 10-07-12.06 - Utilisateur 13/07/2010 18:36:34.1.2 - x86 
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1015.604 [GMT 2:00] 
Lancé depuis: c:\documents and settings\Utilisateur\Bureau\ComboFix.exe 
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF} 
AV: Emsisoft Anti-Malware *On-access scanning disabled* (Outdated) {0F8591BB-342B-4493-91C3-4E948ED21255} 
. 

(((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) 
. 

c:\documents and settings\Utilisateur\Application Data\4E1D4B21444ABE02C86F83F6C00B2851 
c:\documents and settings\Utilisateur\Local Settings\Application Data\Windows Server 
C:\feed.txt 
c:\windows.0\polripr.dll 
c:\windows.0\system32\comsats.sys 
c:\windows.0\system32\hlp.dat 
c:\windows.0\system32\Install.txt 
c:\windows.0\system32\service.sys 

Une copie infectée de c:\windows.0\system32\drivers\ftdisk.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p 
c:\windows.0\system32\ws2_32.dll . . . est infecté!! 

. 
((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) 
. 

-------\Legacy_SSHNAS 


((((((((((((((((((((((((((((( Fichiers créés du 2010-06-13 au 2010-07-13 )))))))))))))))))))))))))))))))))))) 
. 

2010-07-13 16:48 . 2010-07-13 16:48 16384 ----a-w- c:\windows.0\system32\updata.exe 
2010-07-13 15:45 . 2010-07-13 15:45 134656 ----a-w- c:\windows.0\system32\dfttuyo.exe 
2010-07-13 15:45 . 2010-07-13 15:45 151552 ----a-w- c:\windows.0\system32\dfttuyox.exe 
2010-07-13 13:19 . 2010-07-13 13:19 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\AVG9 
2010-07-13 13:16 . 2010-07-13 13:16 223744 ----a-w- c:\windows.0\Jwuwoa.exe 
2010-07-12 14:50 . 2010-07-12 14:50 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\Malwarebytes 
2010-07-12 14:20 . 2010-07-13 12:24 -------- d-----w- c:\program files\ZHPDiag 
2010-07-12 13:32 . 2010-07-12 13:50 -------- d-----w- C:\Lop SD 
2010-07-12 07:56 . 2010-07-12 07:56 0 ----a-w- c:\windows.0
sreg.dat 
2010-07-12 07:56 . 2010-07-12 07:56 -------- d-----w- c:\documents and settings\Utilisateur\Local Settings\Application Data\Mozilla 
2010-07-09 11:35 . 2010-07-09 11:35 -------- d-----w- c:\program files\Fichiers communs\Macrovision Shared 
2010-07-09 11:33 . 2010-07-09 11:33 -------- d-----w- c:\program files\Fichiers communs\Adobe 
2010-07-07 11:02 . 2010-07-07 18:49 -------- d-----w- c:\program files\Emsisoft Anti-Malware 
2010-07-07 10:29 . 2010-04-29 13:39 38224 ----a-w- c:\windows.0\system32\drivers\mbamswissarmy.sys 
2010-07-07 10:29 . 2010-04-29 13:39 20952 ----a-w- c:\windows.0\system32\drivers\mbam.sys 
2010-07-01 10:05 . 2010-07-01 10:05 -------- d-----w- C:\$AVG 
2010-06-30 14:50 . 2010-06-30 14:50 12536 ----a-w- c:\windows.0\system32\avgrsstx.dll 
2010-06-30 14:50 . 2010-06-30 14:50 243024 ----a-w- c:\windows.0\system32\drivers\avgtdix.sys 
2010-06-30 14:50 . 2010-06-30 14:50 216400 ----a-w- c:\windows.0\system32\drivers\avgldx86.sys 
2010-06-30 14:50 . 2010-06-30 14:50 29584 ----a-w- c:\windows.0\system32\drivers\avgmfx86.sys 
2010-06-30 14:50 . 2010-07-13 16:26 -------- d-----w- c:\windows.0\system32\drivers\Avg 
2010-06-30 14:50 . 2010-06-30 14:50 -------- d-----w- c:\program files\AVG 
2010-06-30 14:50 . 2010-07-13 15:40 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0\Application Data\avg9 
2010-06-30 14:23 . 2010-07-07 10:29 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 
2010-06-30 14:10 . 2010-06-30 14:23 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0\Application Data\Malwarebytes 
2010-06-30 12:41 . 2010-06-30 12:41 -------- d-----w- c:\documents and settings\Utilisateur\DoctorWeb 
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\documents and settings\HelpAssistant\UserData 
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\documents and settings\HelpAssistant\Tracing 
2010-06-16 13:54 . 2010-06-16 13:54 -------- d-----w- c:\documents and settings\HelpAssistant\PrivacIE 
2010-06-16 10:43 . 2010-06-16 10:43 -------- d-----w- c:\documents and settings\HelpAssistant\IETldCache 
2010-06-16 10:43 . 2010-06-16 10:43 -------- d-----w- c:\documents and settings\HelpAssistant\IECompatCache 
2010-06-16 10:39 . 2010-06-16 10:39 -------- d-----w- c:\documents and settings\HelpAssistant\.thumbnails 
2010-06-16 01:33 . 2010-06-29 17:04 -------- d-----w- c:\documents and settings\Utilisateur\Local Settings\Application Data\olhoto 

. 
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
2010-07-12 12:46 . 2009-09-25 14:03 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\vlc 
2010-07-12 10:17 . 2001-08-28 11:00 71248 ----a-w- c:\windows.0\system32\perfc00C.dat 
2010-07-12 10:17 . 2001-08-28 11:00 458230 ----a-w- c:\windows.0\system32\perfh00C.dat 
2010-07-12 07:42 . 2007-06-01 08:35 -------- d--h--w- c:\program files\InstallShield Installation Information 
2010-07-12 07:36 . 2009-12-01 14:39 36864 ----a-w- c:\documents and settings\All Users.WINDOWS.0\Application Data\Temp\{CB099890-1D5F-11D5-9EA9-0050BAE317E1}\PostBuild.exe 
2010-07-12 07:34 . 2009-11-29 00:03 -------- d-----w- c:\program files\Bonjour 
2010-07-12 07:34 . 2007-09-08 13:13 -------- d-----w- c:\program files\Atheros 
2010-07-12 07:27 . 2009-12-29 00:19 -------- d-----w- c:\program files\BitComet 
2010-07-11 23:21 . 2009-09-25 14:00 -------- d-----w- c:\documents and settings\All Users.WINDOWS.0\Application Data\Apple Computer 
2010-07-09 12:22 . 2009-09-24 16:53 31840 ----a-w- c:\documents and settings\Utilisateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT 
2010-07-09 11:29 . 2006-11-02 11:18 -------- d-----w- c:\program files\Common Files 
2010-07-07 11:42 . 2009-11-22 18:57 1 ----a-w- c:\documents and settings\Utilisateur\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 
2010-06-15 22:08 . 2009-10-03 13:05 -------- d-----w- c:\documents and settings\Utilisateur\Application Data\dvdcss 
2010-05-30 11:55 . 2010-05-30 11:55 503808 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2420a8a4-n\msvcp71.dll 
2010-05-30 11:55 . 2010-05-30 11:55 499712 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2420a8a4-n\jmc.dll 
2010-05-30 11:55 . 2010-05-30 11:55 348160 ----a-w- c:\documents and settings\Utilisateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-2420a8a4-n\msvcr71.dll 
2010-05-30 10:31 . 2009-10-29 20:04 -------- d-----w- c:\program files\Cossacks 
2010-05-24 12:01 . 2009-12-29 01:22 -------- d-----w- c:\program files\MpcStar 
2009-05-01 21:02 . 2009-05-01 21:02 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 
2009-05-01 21:02 . 2009-05-01 21:02 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll 
. 

------- Sigcheck ------- 

[-] 2008-04-13 . D16B1E4CE4FAA3329CD614CE82F25751 . 579584 . . [5.1.2600.5512] . . c:\windows.0\system32\user32.dll 
[-] 2008-04-13 . D16B1E4CE4FAA3329CD614CE82F25751 . 579584 . . [5.1.2600.5512] . . c:\windows.0\system32\dllcache\user32.dll 

[-] 2008-04-13 . D62908B25308DD09BC7E863564132F6B . 82432 . . [5.1.2600.5512] . . c:\windows.0\system32\ws2_32.dll 

[-] 2008-04-13 . 7AC118169390DE840EF40AAAD8F10519 . 19968 . . [5.1.2600.5512] . . c:\windows.0\system32\ws2help.dll 
[-] 2008-04-13 . 7AC118169390DE840EF40AAAD8F10519 . 19968 . . [5.1.2600.5512] . . c:\windows.0\system32\dllcache\ws2help.dll 

[-] 2008-11-22 . 33578A738C564B4F84D906EFD91025E5 . 1571840 . . [5.1.2600.5512] . . c:\windows.0\system32\sfcfiles.dll 
.

martbass · Answer

suite

((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) 
. 
. 
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Logitech Vid"="c:\program files\Logitech\Logitech Vid\vid.exe" [2009-04-30 5472016] 
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"IgfxTray"="c:\windows.0\system32\igfxtray.exe" [2008-02-15 135168] 
"HotKeysCmds"="c:\windows.0\system32\hkcmd.exe" [2008-02-15 159744] 
"Persistence"="c:\windows.0\system32\igfxpers.exe" [2008-02-15 131072] 
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-25 149280] 
"UpdatePDRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408] 
"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432] 
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-06-30 2065760] 
"dfttuyo"="c:\windows.0\system32\dfttuyo.exe" [2010-07-13 134656] 
"dfttuyox"="c:\windows.0\system32\dfttuyox.exe" [2010-07-13 151552] 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"="c:\windows.0\system32\CTFMON.EXE" [2008-04-13 15360] 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
"_nltide_3"="advpack.dll" [2009-03-08 128512] 

c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\ 
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] 
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088] 

c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\ 
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] 
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088] 

c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\ 
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] 
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088] 

c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\ 
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] 
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088] 

c:\documents and settings\Utilisateur\Menu D'marrer\Programmes\D'marrage\ 
OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000] 
Outil de d'tection de support PMB.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2009-12-25 333088] 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] 
"DisableCAD"= 1 (0x1) 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] 
"NoSMConfigurePrograms"= 1 (0x1) 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] 
"ForceClassicControlPanel"= 1 (0x1) 
"NoSMConfigurePrograms"= 1 (0x1) 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter] 
2010-06-30 14:50 12536 ----a-w- c:\windows.0\system32\avgrsstx.dll 

[HKEY_LOCAL_MACHINE\software\microsoft\security center] 
"AntiVirusOverride"=dword:00000001 
"FirewallOverride"=dword:00000001 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] 
"EnableFirewall"= 0 (0x0) 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] 
"%windir%\Network Diagnostic\xpnetdiag.exe"= 
"%windir%\system32\sessmgr.exe"= 
"c:\Program Files\Messenger\msmsgs.exe"= 
"c:\Program Files\Bonjour\mDNSResponder.exe"= 
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"= 
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"= 
"c:\Program Files\BitComet\BitComet.exe"= 
"c:\Program Files\AVG\AVG9\avgemc.exe"= 
"c:\Program Files\AVG\AVG9\avgupd.exe"= 
"c:\Program Files\AVG\AVG9\avgnsx.exe"= 
"c:\Program Files\Logitech\Logitech Vid\Vid.exe"= 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] 
"8940:TCP"= 8940:TCP:BitComet 8940 TCP 
"8940:UDP"= 8940:UDP:BitComet 8940 UDP 
"65533:TCP"= 65533:TCP:Services 
"52344:TCP"= 52344:TCP:Services 
"5253:TCP"= 5253:TCP:Services 
"9006:TCP"= 9006:TCP:Services 
"3389:TCP"= 3389:TCP:Remote Desktop 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows.0\system32\drivers\avgldx86.sys [30/06/2010 16:50 216400] 
R1 AvgTdiX;AVG Free Network Redirector;c:\windows.0\system32\drivers\avgtdix.sys [30/06/2010 16:50 243024] 
R2 a2AntiMalware;Emsisoft Anti-Malware 5.0 - Service;c:\program files\Emsisoft Anti-Malware\a2service.exe [07/07/2010 13:02 1935120] 
R2 avg9emc;AVG Free E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [30/06/2010 16:50 921440] 
R2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [30/06/2010 16:50 308136] 
R3 RTL8192su;Realtek RTL8192SU Wireless LAN 802.11n USB 2.0 Network Adapter;c:\windows.0\system32\drivers\RTL8192su.sys [17/11/2009 19:40 584832] 
S3 a2acc;a2acc;c:\program files\Emsisoft Anti-Malware\a2accx86.sys [07/07/2010 13:03 71008] 
S4 sptd;sptd;c:\windows.0\system32\drivers\sptd.sys [06/01/2010 20:49 691696] 
. 
Contenu du dossier 'Tâches planifiées' 
. 
. 
------- Examen supplémentaire ------- 
. 
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/ 
uInternet Settings,ProxyOverride = <local> 
. 
- - - - ORPHELINS SUPPRIMES - - - - 

Toolbar-Locked - (no file) 
HKCU-Run-likhwtmbac - c:\documents and settings\utilisateur\local settings\application data\olhoto\cworjf.exe 
HKCU-Run-Bnezo - c:\windows.0\polripr.dll 
HKCU-Run-070700Setup.exe - c:\documents and settings\Utilisateur\Application Data\4E1D4B21444ABE02C86F83F6C00B2851\070700Setup.exe 
HKLM-Run-likhwtmbac - c:\documents and settings\utilisateur\local settings\application data\olhoto\cworjf.exe 
HKLM-Run-sxuluj - c:\windows.0\system32\msmxjchn.dll 
AddRemove-Adobe_32fdd767b4383606e8168e834af5d90 - c:\program files\Fichiers communs\Adobe\Installers\32fdd767b4383606e8168e834af5d90\Setup.exe 
AddRemove-Adobe_b7dd24a87e82dcf8af8876fd727b7cf - c:\program files\Fichiers communs\Adobe\Installers\b7dd24a87e82dcf8af8876fd727b7cf\Setup.exe 
AddRemove-InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E} - c:\program files\Fichiers communs\InstallShield\Driver\9\Intel 32\IDriver.exe 
AddRemove-lvdrivers_12.0 - c:\program files\Fichiers communs\LogiShrd\LogiDriverStore\lvdrivers\12.0.1278\LgDrvInst.exe 
AddRemove-{F4F8BF8F-4147-41AD-B3EB-9EB54F5CAB89} - c:\program files\ITS\Audio Browser\Uninst.exe 



************************************************************************** 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 
Rootkit scan 2010-07-13 18:47 
Windows 5.1.2600 Service Pack 3 NTFS 

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 


c:\windows.0\system32\Install.txt 244 bytes 
c:\windows.0\system32\updata.exe 16384 bytes executable 

Scan terminé avec succès 
Fichiers cachés: 2 

************************************************************************** 
. 
--------------------- DLLs chargées dans les processus actifs --------------------- 

- - - - - - - > 'explorer.exe'(3080) 
c:\windows.0\system32\ieframe.dll 
c:\windows.0\system32\webcheck.dll 
c:\windows.0\system32\eappprxy.dll 
. 
------------------------ Autres processus actifs ------------------------ 
. 
c:\program files\AVG\AVG9\avgchsvx.exe 
c:\program files\AVG\AVG9\avgrsx.exe 
c:\program files\AVG\AVG9\avgcsrvx.exe 
c:\program files\Bonjour\mDNSResponder.exe 
c:\program files\Java\jre6\bin\jqs.exe 
c:\windows.0\system32\msiexec.exe 
c:\program files\CyberLink\Shared files\RichVideo.exe 
c:\windows.0\system32\locator.exe 
c:\program files\AVG\AVG9\avgnsx.exe 
c:\program files\AVG\AVG9\avgcsrvx.exe 
c:\windows.0\system32\wscntfy.exe 
c:\windows.0\system32\igfxsrvc.exe 
c:\program files\OpenOffice.org 3\program\soffice.exe 
c:\program files\OpenOffice.org 3\program\soffice.bin 
c:\program files\Java\jre6\bin\jucheck.exe 
. 
************************************************************************** 
. 
Heure de fin: 2010-07-13 18:54:01 - La machine a redémarré 
ComboFix-quarantined-files.txt 2010-07-13 16:53 

Avant-CF: 23 732 764 672 octets libres 
Après-CF: 24 743 460 864 octets libres 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe 
[boot loader] 
timeout=2 
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0 
[operating systems] 
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons 
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS.0="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect 

- - End Of File - - 4004C446504C845EC90A7F7FAC6763F2 


Au niveau des changements: Antimalware Doctor est parti! Pour l'instant je n'ai pas eu de nouvelle attaque (mis à part quelques unes identiques pendant que Combofix terminait son boulot (au dernier redémarrage d'ordinateur (PHOTO JOINTE N°1)). Je n'ai pour l'instant pas été redirigé sur d'autres sites hasardeux. 
Il y a toujours les deux iexplore (PHOTO JOINTE N°2). Et il y a une application/processus bizarre (sûrement savez-vous ce que c'est) PHOTO 3. 


https://www.cjoint.com/?hntfa8ycfm 
https://www.cjoint.com/?hntiJWpA02 
https://www.cjoint.com/?hntjvSeLeD

Xplode · Answer

Re-bonsoir,

C'est le bronx dans ton PC ! Par contre, ton ami t'as refourgué un Windows modifié/cracké , donc tu auras l'occasion de lui dire merci :)

Habituellement sur CCM nous n'aidons pas les utilisateurs qui ont un windows cracké/modifié pour une question d'éthique, mais vu que pour ton cas c'est involontaire, et que tu n'es pas désagréable ( si, si ! ) , eh bien je vais continuer à t'aider.

Je te prépare la suite et je te poste ça dans la soirée.

Xplode · Answer

-+-+-+-+-> CFScript <-+-+-+-+-

/!\ Attention : Cette procédure n'est valable que pour martbass /!\

[x] Copie le texte en gras ci dessous :


Killall::

File::

c:\windows.0\system32\updata.exe
c:\windows.0\system32\Install.txt 
c:\windows.0\system32\dfttuyox.exe
c:\windows.0\system32\dfttuyo.exe
c:\windows.0\Jwuwoa.exe

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"dfttuyo"=-
"dfttuyox=-


[x] Ouvre le bloc-note puis colle le texte ci dessus dedans.

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ).

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici.

[x] Combofix va se lancer, patiente le temps du scan.

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.

-------------------------

Ensuite, puisque Bootkit remover ne passe pas, on va faire un fixmbr en console de récupération.

Combofix l'a automatiquement installé, normalement au démarrage tu dois avoir deux choix ( console de récupération ou windows XP ).

Redémarre le PC et choisis console de récupération.

Ensuite suis ce tutoriel et redémarre le PC.

-------------------------

Maintenant tu relances combofix normalement puis tu postes le rapport.

Note : Heberge les deux rapports sur cjoint en les renommant en " CombofixPre " pour le premier ( le cfscript ) et " CombofixPost " pour le second ( le combofix normal ).

Si tu as une question, n'hésite pas.

martbass · Answer

Tout d'abord, merci de m'aider et merci aussi pour le compliment (je ne suis pas désagréable). Etant donné le ratio questions/jour affiché en haut de la page et le nombre de réponses et de prises en main que vous faîtes, ce compliment doit valoir son poids!
Ensuite, pour mon "ami" l'informaticien véreux, j'ai plutôt des envies de meurtre quand je vois qu'il m'a piqué 90€ pour tous ces beaux cadeaux...... (envies que je ne pourrai pas assouvir il est à Lyon et moi très loin en dessous).

Bref, j'ai fait le pré-combofix, mais je bloque à la console de récupération, plus précisément sur le tuto, vu qu'il parle de redémarrer l'ordinateur avec le cd d'XP que je n'ai pas :/ . Est-il indispensable?

(Bonne nuit et à demain!)

martbass · Answer

Voilà c'est fait! Pour le fixmbr là, la console m'a averti que tout allait bien et que ça pouvait être risqué de lancer tout de même cette commande. J'ai tout de même confirmé avec "o" (oui), et ça n'a duré que 3/4 secondes. 

Voici les rapport Pré et Post:

https://www.cjoint.com/?homnJOaOPV
https://www.cjoint.com/?homodRB3fG

Juste pour vous tenir au courant de l'avancée, j'ai toujours les deux iexplore, mais depuis la manip précédente je crois, je n'ai plus d'attaques, ni de détournement vers des pages hasardeuses, et l'ordinateur semble aller un peu plus vite (y compris lors de la navigation sur internet!).

Voilà, je vous attends si vous avez d'autres étapes à me conseiller d'après les rapports

Xplode · Answer

Ok, bonne nouvelle alors :) On a nettoyé le MBR, maintenant il y a toujours quelque chose qui me chagrine :

c:\windows.0\system32\ws2_32.dll . . . est infecté!!  

On va faire une vérification :

-+-+-+-+-> SEAF <-+-+-+-+-


[x] Télécharge SEAF ( de C_XX ) sur ton bureau.

[x] Lance le puis dans la partie " Entrez ci dessous[...] " copie/colle ceci :


ws2_32.dll


[x] Coche " Afficher les ADS "

[x] A droite de " Calculer le checksum " , sélectionne " MD5 ".

[x] Clique maintenant sur " Lancer la recherche " puis poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.

martbass · Answer

Erf... Petit problème : 
https://www.cjoint.com/?honh4Wo1dQ

Au moment de lancer ce message d'erreur s'affiche.
:/

Xplode · Answer

Ok, on va utiliser autre chose :

-+-+-+-+-> SystemLook <-+-+-+-+-


[x] Télécharge SystemLook ( de jpshortstuff ) sur ton bureau.

[x] Lance le, puis copie/colle le texte ci-dessous dans l'encadré blanc :


:file
c:\windows.0\system32\ws2_32.dll


[x] Clique sur " Look " puis copie/colle le contenu du rapport obtenu dans ta prochaine réponse.

martbass · Answer

Ca a été très très court, voici le rapport:


SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 13:27 on 14/07/2010 by Utilisateur (Administrator - Elevation successful)

========== file ==========

c:\windows.0\system32\ws2_32.dll - File found and opened.
MD5: D62908B25308DD09BC7E863564132F6B
Created at 17:33 on 13/04/2008
Modified at 17:33 on 13/04/2008
Size: 82432 bytes
Attributes: --a---
FileDescription: Windows Socket 2.0 32-Bit DLL
FileVersion: 5.1.2600.5512 (xpsp.080413-0852)
ProductVersion: 5.1.2600.5512
OriginalFilename: ws2_32.dll
InternalName: ws2_32.dll
ProductName: Microsoft® Windows® Operating System
CompanyName: Microsoft Corporation
LegalCopyright: © Microsoft Corporation. All rights reserved.

-=End Of File=-

Xplode · Answer

-+-+-+-+-> Virustotal <-+-+-+-+-


[x] Rends toi sur ce site puis cliques sur " Choisissez un fichier ".

[x] Sélectionne ce fichier : c:\windows.0\system32\ws2_32.dll
 puis cliques sur " Ouvrir ". Patiente pendant l'envoi.

[x] Si il est indiqué que le fichier a déjà été analysé, clique sur " Réanalyser ".

[x] Copie/Colle le rapport affiché à l'écran dans ta prochaine réponse.

martbass · Answer

Voilà le rapport de Virustotal:

Fichier ws2_32.dll reçu le 2010.07.14 11:42:09 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE 


Résultat: 4/42 (9.53%)
en train de charger les informations du serveur... 
Votre fichier est dans la file d'attente, en position: 1.
L'heure estimée de démarrage est entre 40 et 57 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse. 
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. 
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération. 
 Formaté Impression des résultats  Votre fichier a expiré ou n'existe pas. 
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.
Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.  Email:  
  

Antivirus Version Dernière mise à jour Résultat 
a-squared 5.0.0.31 2010.07.14 - 
AhnLab-V3 2010.07.14.01 2010.07.14 - 
AntiVir 8.2.4.10 2010.07.14 - 
Antiy-AVL 2.0.3.7 2010.07.14 - 
Authentium 5.2.0.5 2010.07.14 - 
Avast 4.8.1351.0 2010.07.14 - 
Avast5 5.0.332.0 2010.07.14 - 
AVG 9.0.0.836 2010.07.14 - 
BitDefender 7.2 2010.07.14 - 
CAT-QuickHeal 11.00 2010.07.14 - 
ClamAV 0.96.0.3-git 2010.07.14 - 
Comodo 5424 2010.07.14 - 
DrWeb 5.0.2.03300 2010.07.14 - 
eSafe 7.0.17.0 2010.07.14 - 
eTrust-Vet 36.1.7706 2010.07.14 - 
F-Prot 4.6.1.107 2010.07.14 - 
F-Secure 9.0.15370.0 2010.07.14 - 
Fortinet 4.1.143.0 2010.07.14 - 
GData 21 2010.07.14 - 
Ikarus T3.1.1.84.0 2010.07.14 - 
Jiangmin 13.0.900 2010.07.14 - 
Kaspersky 7.0.0.125 2010.07.14 - 
McAfee 5.400.0.1158 2010.07.14 - 
McAfee-GW-Edition 2010.1 2010.07.14 - 
Microsoft 1.5902 2010.07.14 Virus:Win32/Bamital.A 
NOD32 5277 2010.07.14 Win32/Patched.FC 
Norman 6.05.11 2010.07.14 - 
nProtect 2010-07-14.01 2010.07.14 - 
Panda 10.0.2.7 2010.07.14 - 
PCTools 7.0.3.5 2010.07.14 - 
Prevx 3.0 2010.07.14 - 
Rising 22.56.02.04 2010.07.14 Trojan.Win32.Generic.521B7084 
Sophos 4.55.0 2010.07.14 W32/Patched-J 
Sunbelt 6579 2010.07.14 - 
SUPERAntiSpyware 4.40.0.1006 2010.07.14 - 
Symantec 20101.1.1.7 2010.07.14 - 
TheHacker 6.5.2.1.313 2010.07.13 - 
TrendMicro 9.120.0.1004 2010.07.14 - 
TrendMicro-HouseCall 9.120.0.1004 2010.07.14 - 
VBA32 3.12.12.6 2010.07.13 - 
ViRobot 2010.7.12.3932 2010.07.14 - 
VirusBuster 5.0.27.0 2010.07.13 - 

Information additionnelle 
File size: 82432 bytes 
MD5...: d62908b25308dd09bc7e863564132f6b 
SHA1..: 26cb368eb5693946136c7e67ddb7948bc9591297 
SHA256: 28c5b5ca075859a1126dcf742f4d09ca015366febb06e72ad6155dae44ba23e9 
ssdeep: 1536:LVidIkC3Q/SxCKEy2hdhdTe729cZpRJPf5QpZaqq/R8elG:LVgLEp2hdrTe
7IcZpR55QZVj
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13156
timedatestamp.....: 0x4802c299 (Mon Apr 14 02:34:01 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x121fb 0x12200 6.50 7f4189ab9919ec2f5ad5f1845fae3071
.data 0x14000 0x914 0xa00 4.87 398f55d2c3049411bdc9baf7c51d8148
.rsrc 0x15000 0x3f8 0x400 3.43 5ff68b649c14d167754073f671ef1ef1
.reloc 0x16000 0xdc8 0xe00 6.65 c085926e9053221b19c5e6bcc1c08384

( 5 imports ) 
> ADVAPI32.dll: RegNotifyChangeKeyValue, RegDeleteKeyA, RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyExA, RegCloseKey, RegEnumKeyExA
> KERNEL32.dll: GetTickCount, QueryPerformanceCounter, lstrcmpA, HeapReAlloc, HeapFree, HeapAlloc, InterlockedCompareExchange, IsBadWritePtr, GetEnvironmentVariableA, GetComputerNameA, GetVersionExA, GetSystemDirectoryA, GetWindowsDirectoryA, WaitForMultipleObjectsEx, ResetEvent, IsBadReadPtr, TlsSetValue, GetHandleInformation, ExpandEnvironmentStringsA, InterlockedExchange, GetCurrentThreadId, TlsAlloc, GetSystemInfo, HeapCreate, GetProcessHeap, HeapDestroy, TlsFree, lstrlenA, lstrcpyA, IsBadCodePtr, GetProcAddress, CreateEventA, GetModuleFileNameA, LoadLibraryA, CreateThread, FreeLibrary, WaitForSingleObject, CloseHandle, FreeLibraryAndExitThread, EnterCriticalSection, SetEvent, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, SwitchToThread, SetLastError, DelayLoadFailureHook, TlsGetValue, InterlockedDecrement, GetLastError, WideCharToMultiByte, MultiByteToWideChar, InitializeCriticalSection, DeleteCriticalSection, InterlockedIncrement, LeaveCriticalSection
> msvcrt.dll: __isascii, isspace, _except_handler3, sprintf, _adjust_fdiv, malloc, _initterm, free, _stricmp, fclose, fgets, atoi, strchr, fopen, wcscpy, strtoul, wcscmp, wcslen, wcschr
> ntdll.dll: RtlIpv4StringToAddressW, RtlIpv6StringToAddressExW, RtlIpv4StringToAddressA
> WS2HELP.dll: WahCompleteRequest, WahQueueUserApc, WahEnableNonIFSHandleSupport, WahDisableNonIFSHandleSupport, WahCreateSocketHandle, WahNotifyAllProcesses, WahCreateNotificationHandle, WahWaitForNotification, WahOpenCurrentThread, WahCloseThread, WahInsertHandleContext, WahRemoveHandleContext, WahDestroyHandleContextTable, WahCreateHandleContextTable, WahEnumerateHandleContexts, WahCloseApcHelper, WahCloseHandleHelper, WahCloseNotificationHandleHelper, WahOpenNotificationHandleHelper, WahOpenHandleHelper, WahOpenApcHelper, WahCloseSocketHandle, WahReferenceContextByHandle

( 117 exports ) 
FreeAddrInfoW, GetAddrInfoW, GetNameInfoW, WEP, WPUCompleteOverlappedRequest, WSAAccept, WSAAddressToStringA, WSAAddressToStringW, WSAAsyncGetHostByAddr, WSAAsyncGetHostByName, WSAAsyncGetProtoByName, WSAAsyncGetProtoByNumber, WSAAsyncGetServByName, WSAAsyncGetServByPort, WSAAsyncSelect, WSACancelAsyncRequest, WSACancelBlockingCall, WSACleanup, WSACloseEvent, WSAConnect, WSACreateEvent, WSADuplicateSocketA, WSADuplicateSocketW, WSAEnumNameSpaceProvidersA, WSAEnumNameSpaceProvidersW, WSAEnumNetworkEvents, WSAEnumProtocolsA, WSAEnumProtocolsW, WSAEventSelect, WSAGetLastError, WSAGetOverlappedResult, WSAGetQOSByName, WSAGetServiceClassInfoA, WSAGetServiceClassInfoW, WSAGetServiceClassNameByClassIdA, WSAGetServiceClassNameByClassIdW, WSAHtonl, WSAHtons, WSAInstallServiceClassA, WSAInstallServiceClassW, WSAIoctl, WSAIsBlocking, WSAJoinLeaf, WSALookupServiceBeginA, WSALookupServiceBeginW, WSALookupServiceEnd, WSALookupServiceNextA, WSALookupServiceNextW, WSANSPIoctl, WSANtohl, WSANtohs, WSAProviderConfigChange, WSARecv, WSARecvDisconnect, WSARecvFrom, WSARemoveServiceClass, WSAResetEvent, WSASend, WSASendDisconnect, WSASendTo, WSASetBlockingHook, WSASetEvent, WSASetLastError, WSASetServiceA, WSASetServiceW, WSASocketA, WSASocketW, WSAStartup, WSAStringToAddressA, WSAStringToAddressW, WSAUnhookBlockingHook, WSAWaitForMultipleEvents, WSApSetPostRoutine, WSCDeinstallProvider, WSCEnableNSProvider, WSCEnumProtocols, WSCGetProviderPath, WSCInstallNameSpace, WSCInstallProvider, WSCUnInstallNameSpace, WSCUpdateProvider, WSCWriteNameSpaceOrder, WSCWriteProviderOrder, __WSAFDIsSet, accept, bind, closesocket, connect, freeaddrinfo, getaddrinfo, gethostbyaddr, gethostbyname, gethostname, getnameinfo, getpeername, getprotobyname, getprotobynumber, getservbyname, getservbyport, getsockname, getsockopt, htonl, htons, inet_addr, inet_ntoa, ioctlsocket, listen, ntohl, ntohs, recv, recvfrom, select, send, sendto, setsockopt, shutdown, socket
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%) 
Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center 
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Windows Socket 2.0 32-Bit DLL
original name: ws2_32.dll
internal name: ws2_32.dll
file version.: 5.1.2600.5512 (xpsp.080413-0852)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
Je vous ai tout mis comme info car je ne savais pas à partir d'où copier/coller. Je me demande vraiment comment vous faîtes pour comprendre toutes ces choses...

Xplode · Answer

Ok...

Télécharge ceci sur ton bureau ( ne le lance pas )

Télécharge ceci et copie le sous C:\ ( important )

Ensuite lance replace.bat, puis repasse combofix.

martbass · Answer

Voilà donc le rapport combofix après avoir utilisé replace.bat:

https://www.cjoint.com/?hooyFv1rnD

L'élément qui vous dérangeait n'est plus là, je me trompe?

Xplode · Answer

Exact :)

Clique sur démarrer -> exécuter et tapes " combofix /uninstall " ( sans les guillemets ) puis valide par [Ok]

Ensuite supprime replace.bat et supprime également ce fichier :

C:\windows.0\system32\ws2_32.dll.old

On va faire le point maintenant :

Quels sont les problèmes qui ont disparus?
Quels sont ceux qu'il te reste?

martbass · Answer

Voilà c'est fait!

Alors pour le bilan, ce qui a disparu:
- le ralentissement de l'ordinateur y compris pour la navigation internet.
- les détournements sur des fausses pages internet.
- les attaques et autres diverses alertes d'AVG.
- Antimalware Doctor qui s'était installé a un moment est parti (depuis plusieurs étapes mais bon on fait le bilan).
- Le centre de sécurité windows est réapparu dans la barre en bas à droite (près de l'heure)(depuis plusieurs étapes aussi).
- les deux iexplore ne restent plus lorsque je quitte internet explorer.

ce qui reste:
- les deux iexplore sont toujours là lorsque je suis sur internet explorer.

Je ne sais pas si c'est gênant ou grave, c'est à vous de me dire. En tout cas déjà un grand merci d'avoir été si patient pour mon cas (qui avait l'air bien fourni apparament en conneries de tout genre :/ ).

Xplode · Answer

Ok, ca va mieux alors :)

Pour les deux iexplore.exe, c'est normal. Je te joins une copie d'écran de mon PC tu verras :)

https://www.cjoint.com/?hops6JQT7d

On va faire du ménage ensuite.

martbass · Answer

D'accord. Bien alors tout roule de mon côté, j'attends vos conseils pour le "ménage".

Xplode · Answer

-+-+-+-+-> Mise à jour du PC <-+-+-+-+- [x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Java [o] Télécharge JavaRa puis décompresse le sur ton bureau. [o] Ouvre le dossier JavaRa puis exécute JavaRa.exe. [o] Clique sur "Search For Updates". [o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search". [o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation. [o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions". [o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ". [o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message. 2ème étape : Adobe Reader [x] Si tu utilises adobe reader, il est important qu'il soit à jour. [x] Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir https://forum.malekal.com/viewtopic.php?t=13629&start= ici] ) [x] Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour] 3ème étape : Mise à jour des logiciels [o] Il est également important de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. [o] Télécharge le [o] Un tutoriel pour son utilisation est disponible ici. -+-+-+-+-> Vacciner les supports amovibles <-+-+-+-+- [x] Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent. [x] Télécharge USBfix puis lance le. [x] Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif ) [x] Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner]. [x] Appuie sur [Ok] au message de confirmation. -+-+-+-+-> Toolscleaner <-+-+-+-+- [x] Télécharge ToolsCleaner ( d'A.Rothstein & Dj Quiou ) sur ton bureau. /!\ Utilisateurs de vista/seven , faites un clic droit sur l'icône de toolscleaner puis " Exécuter en tant qu'administrateur " /!\ [x] Lance le puis clique sur [Recherche] [x] Patiente pendant le scan puis clique sur [Suppression] [x] Clique maintenant sur [Quitter] ( pas sur la croix rouge ) pour afficher le rapport. [x] Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\TCleaner.txt Note : Il se peut que le logiciel affiche la mention "Ne répond pas" car il consomme beaucoup de ressources. Il faut patienter quelques minutes. [x] Un tutoriel est disponible ici. -+-+-+-+-> Optimisation <-+-+-+-+- 1ère étape : Suppression des fichiers inutiles [o] Télécharge CCleaner [o] Installe le, puis lance le. [o] Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". [o] Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. [o] Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. [o] Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) [o] Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] [o] Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation [x] Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. [o] Télécharge Defraggler. [o] Un tutoriel pour son utilisation est disponible ici. 3ème étape : Vérification des disques [x] Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) [x] Clique sur [Propriété] puis sur l'onglet [Outils] [x] Clique sur [Vérifier maintenant] puis coche les deux cases présentes. [x] Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage [x] Clique sur [Démarrer] puis [Exécuter]. [x] Tape msconfig et valide par [ok]. [x] A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. [x] Clique sur [Appliquer] puis [ok] et redémarre ton PC. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7 -+-+-+-+-> UAC ( Uniquement pour Vista/Seven ) <-+-+-+-+- [x] Si tu as désactivé l'UAC, il est important de la réactiver. -> Pourquoi garder l'UAC activée? -+-+-+-+-> Liens utiles <-+-+-+-+- - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire

martbass · Answer

Bonjour!

Ca a été long mais j'ai fait toutes les dernières étapes (à part pour Adobe Reader que je n'ai pas trouvé). J'imagine que c'est terminé, en tout cas, mon ordinateur a l'air d'avoir retrouvé un peu de fraîcheur.

Je vous remercie encore une fois pour ces 3 pages de patience et d'aide, et je reste scotché devant la montagne de travail et de connaissance que vous avez démontré. Merci beaucoup et bonne continuation!

(PS: s'il reste des choses à faire je suis encore là)

Xplode · Answer

Tu peux supprimer toolscleaner etc... 

Plus rien à faire maintenant, je met ton sujet en "résolu".

Bonne fin de journée, @+

damsbzh · Answer

Bonjour ! moi aussi j'ai le même problème .... pouvez vous m'aider ? merci beaucoup

damsbzh · Answer

j'ai fait l'analyse ZHPDiag que voici 	https://www.cjoint.com/?hqoADPB6RP

M@thew · Answer

Salut dambzh.

Concernant le blocage de tes topics, il est du juste à la
présence de mots grossiers blacklistés qui empêchent 
tes messages de passer.

Merci de faire attention à l'avenir.

:o)

damsbzh · Answer

pourtant il n'y avait aucun mot grossier je t'assure lol , peut etre que dans le rapport certains dossiers avaient des mots grossiers, mais me concernant ... ah peut etre que j'ai insulté mes virus ... lol je saurai alors merci

M@thew · Answer

Pas de quoi, le bzh, ça aide !  :o)

Allez zou j'efface tout ça !

Encore un Iexplore en double à résoudre....

52 réponses

Discussions similaires

Newsletters