Fenêtre intempestives contenant des virus Résolu/Fermé

Question

Bonjour, j'ai un problème avec mon ordinateur.  

Je ne sais pas quand ni comment, mais je me suis ramassé un virus qui, ouvre des onglet contenant des virus, ralentit ma connexion (parfois la bloque) et et fait planter Firefox. J'ai fait un scan de mon ordinateur avec Avira, testé les trucs de "Comment ça marche" et fait quelque recherche sur le net (les solutions donné sont souvent compliqué ou doivent être assisté)  

donc si quelqu'un pouvait m'aider... je lui en serait très reconnaissant :/  



Configuration: Windows XP Firefox 3.6.8

www.le-boss-ff7.kazeo.com

Utilisateur anonyme · Answer

Bonjour

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

lynxcool · Answer

je ne sais pas ce qui se passe mais au moment ou je clique sur sur "Cliquez ici pour déposer le fichier" Firefox m'affiche "La connexion a été réinitialisée" et me dit que c'est soit que le site est surchargé, que ma connexion a un problème (les autre sites fonctionnent), ou que mon pare-feu le bloque (je l'ai désactivé mais sa ne marche toujours pas)

Utilisateur anonyme · Answer

Re

Essaie ici:https://www.cjoint.com/

@+

lynxcool · Answer

toujours le même problème

lynxcool · Answer

up

Utilisateur anonyme · Answer

bonjour,
pour avacer Guillaume que je salue au passage :-)

*	Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir: 

https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Scanner »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

lynxcool · Answer

enfin quelque chose qui marche ^^

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (SCAN [3]) -> Lancé à 07:21:29 le 29/07/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Administrateur@NAIMA1956 ( ) 
 
============== RECHERCHE ==============


0,Dossier trouvé: C:\Program Files\Absolutist_Games
0,Dossier trouvé: C:\Documents and Settings\All Users\Application Data\Trymedia
0,Dossier trouvé: C:\Documents and Settings\Administrateur\Application Data\ZangoToolbar

0,Clé trouvée: HKLM\Software\Classes\HbCoreSrv.DynamicProp
0,Clé trouvée: HKLM\Software\Classes\HbCoreSrv.DynamicProp.1
0,Clé trouvée: HKLM\Software\Classes\Wallpaper.WallpaperManager
0,Clé trouvée: HKLM\Software\Classes\Wallpaper.WallpaperManager.1
0,Clé trouvée: HKLM\Software\Trymedia Systems
0,Clé trouvée: HKCU\Software\Conduit
0,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Zango
0,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}

0,Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|ZangoToolbar 4.8.3


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profileszrn5vn8.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau
browser.search.defaultenginename, Google
browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
browser.search.selectedEngine, Google.com (in English)
browser.startup.homepage, hxxp://go.microsoft.com/fwlink/?LinkId=69157
browser.startup.homepage_override.mstone, rv:1.9.2.8
keyword.URL, hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=FR_CA&c=63&bd=PRESARIO&pf=desktop
Search Page: 
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 3 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 29/07/2010 (457 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 29/07/2010 (457 Octet(s)) 
C:\Ad-Report-SCAN[3].txt - 29/07/2010 (1475 Octet(s)) 

Fin à: 07:25:20, 29/07/2010 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Relance ADR, clique sur Nettoyer, poste son rapport

lynxcool · Answer

Quand le nettoyage c'est terminé ADR m'a proposé de redémarrer l'ordinateur. Est-ce que le nouveau rapport se trouve dans "C:\Ad-report(Scan/clean).Txt)" ? 
www.le-boss-ff7.kazeo.com

lynxcool · Answer

up

Utilisateur anonyme · Answer

Re

Salut à toi Electricien 69 et merci ;)

@lynxcool
Il faut savoir que chacun de ceux qui t'aide,a aussi une vie privée;
donc un peu de patience ne fait pas de mal...

Le rapport est là:C:\Ad-report.log .

Essaie maintenant de me poster un ZHPDiag;merci

@+

lynxcool · Answer

bon puisque j'ai plusieurs C:\Ad-report. j'ai envoyé celui où il était écris CLEAN.  

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======  

Mis à jour par C_XX le 26/07/10 à 12:00  
Contact: AdRemover.contact[AT]gmail.com  
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html  

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 07:41:35 le 29/07/2010, Mode normal  

Microsoft Windows XP Professionnel Service Pack 3 (X86)   
Administrateur@NAIMA1956 ( )   
   
============== ACTION(S) ==============  


0,Dossier supprimé: C:\Program Files\Absolutist_Games  
0,Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Trymedia  
0,Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\ZangoToolbar  

(!) -- Fichiers temporaires supprimés.  


0,Clé supprimée: HKLM\Software\Classes\HbCoreSrv.DynamicProp  
0,Clé supprimée: HKLM\Software\Classes\HbCoreSrv.DynamicProp.1  
0,Clé supprimée: HKLM\Software\Classes\Wallpaper.WallpaperManager  
0,Clé supprimée: HKLM\Software\Classes\Wallpaper.WallpaperManager.1  
0,Clé supprimée: HKLM\Software\Trymedia Systems  
0,Clé supprimée: HKCU\Software\Conduit  
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Zango  
0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}  

0,Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|ZangoToolbar 4.8.3  


============== SCAN ADDITIONNEL ==============  

** Mozilla Firefox Version [3.6.8 (fr)] **  

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profileszrn5vn8.default\Prefs.js --  
browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau  
browser.search.defaultenginename, Google  
browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=  
browser.search.selectedEngine, Google.com (in English)  
browser.startup.homepage, hxxp://go.microsoft.com/fwlink/?LinkId=69157  
browser.startup.homepage_override.mstone, rv:1.9.2.8  
keyword.URL, hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=  
privacy.popups.showBrowserMessage, false  

========================================  

** Internet Explorer Version [8.0.6001.18702] **  

[HKCU\Software\Microsoft\Internet Explorer\Main]   
AutoHide: yes  
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome  
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  
Do404Search: 0x01000000  
Enable Browser Extensions: yes  
Local Page: C:\WINDOWS\system32\blank.htm  
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896  
Show_ToolBar: yes  
Start Page: hxxp://fr.msn.com/  
Use Custom Search URL: 1  
Use Search Asst: no  

[HKLM\Software\Microsoft\Internet Explorer\Main]   
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896  
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  
Delete_Temp_Files_On_Exit: yes  
Local Page: C:\WINDOWS\system32\blank.htm  
Search bar: hxxp://search.msn.com/spbasic.htm  
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch  
Start Page: hxxp://fr.msn.com/  

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]   
Tabs: res://ieframe.dll/tabswelcome.htm  
Blank: res://mshtml.dll/blank.htm  

========================================  

C:\Program Files\Ad-Remover\Quarantine: 602 Fichier(s)  
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)  

C:\Ad-Report-CLEAN[1].txt - 29/07/2010 (732 Octet(s))   
C:\Ad-Report-SCAN[1].txt - 29/07/2010 (457 Octet(s))   
C:\Ad-Report-SCAN[2].txt - 29/07/2010 (457 Octet(s))   
C:\Ad-Report-SCAN[3].txt - 29/07/2010 (3596 Octet(s))   

Fin à: 07:46:08, 29/07/2010   
   
============== E.O.F ==============   


pour le ZHPDiag quand je clique sur parcourir rien ne se passe (mais qu'est-ce qui va pas avec mon ordi toujours entrain d'accumuler les problèmes j'en ai marre T_T)  
www.le-boss-ff7.kazeo.com

Utilisateur anonyme · Answer

Re

Ok ,passons à autre chose;

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

@+

lynxcool · Answer

Sa doit faire plus d'une heure que j'attend... Qu'est-ce qui se passe? (je suis sur mon mobile)

Utilisateur anonyme · Answer

Re

Un peu de patience;
a  t' il avancé depuis ton dernier post?

@+

lynxcool · Answer

C'était surement un bug

j'ai redémarré et tout fonctionne

Utilisateur anonyme · Answer

Re

Peux tu me poster si tu le trouves le rapport de ComboFix.

Poste moi un rapport ZHPDiag pour contrôle;merci

@+

lynxcool · Answer

je vais être obligé de poster le rapport de Combo en deux partie

lynxcool · Answer

ComboFix 10-07-28.03 - Administrateur 2010-07-29  12:51:06.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.2.1036.18.1982.1541 [GMT -4:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\asdehi.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\fmark2.dat
c:\windows\system32\960932
c:\windows\system32\mlkife.dll
c:\windows\system32\qonolm.dll
c:\windows\system32\urstqr.dll
c:\windows\system32\win.ini
D:\Autorun.inf

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


(((((((((((((((((((((((((((((   Fichiers créés du 2010-06-28 au 2010-07-29  ))))))))))))))))))))))))))))))))))))
.

2010-07-29 11:16 . 2010-07-29 11:45	--------	d-----w-	c:\program files\Ad-Remover
2010-07-29 09:50 . 2010-07-29 09:51	--------	d-----w-	c:\program files\ZHPDiag
2010-07-29 09:04 . 2010-07-29 09:06	--------	d---a-w-	C:\Navilog1
2010-07-29 00:13 . 2010-07-29 00:18	--------	d-----w-	c:\program files\NirSoft
2010-07-26 20:02 . 2010-07-26 21:09	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2010-07-26 19:43 . 2010-07-29 02:30	--------	d-----w-	c:\program files\7-Zip
2010-07-26 19:36 . 2010-07-26 20:22	--------	d-----w-	c:\program files\LibUSB-Win32
2010-07-26 19:36 . 2009-07-07 22:53	28160	----a-w-	c:\windows\system32\drivers\libusb0.sys
2010-07-26 19:36 . 2009-07-07 22:52	41984	----a-w-	c:\windows\system32\libusb0.dll
2010-07-26 17:22 . 2010-07-26 17:22	--------	d-----w-	c:\program files\iPod
2010-07-26 17:22 . 2010-07-26 17:23	--------	d-----w-	c:\program files\iTunes
2010-07-26 17:22 . 2010-07-26 17:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-26 17:19 . 2010-07-26 17:19	--------	d-----w-	c:\program files\QuickTime
2010-07-26 17:16 . 2010-07-26 17:16	--------	d-----w-	c:\program files\Bonjour
2010-07-24 08:21 . 2010-07-24 08:21	73216	----a-w-	c:\windows\system32\o.dat
2010-07-22 05:40 . 2010-07-22 05:40	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-07-22 05:27 . 2010-07-22 05:39	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2010-07-21 17:55 . 2010-07-21 17:55	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Mozilla
2010-07-21 17:54 . 2010-07-21 17:54	--------	d-----w-	c:\documents and settings\LocalService\Application Data\McAfee
2010-07-16 07:45 . 2010-07-16 07:45	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-07-15 21:07 . 2010-07-15 21:07	--------	d-s---w-	c:\documents and settings\LocalService\Favoris
2010-07-15 20:23 . 2009-11-25 16:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-07-15 20:23 . 2009-03-30 14:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-07-15 20:23 . 2009-02-13 16:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-07-15 20:23 . 2009-02-13 16:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-07-15 20:23 . 2010-07-15 20:23	--------	d-----w-	c:\program files\Avira
2010-07-15 20:23 . 2010-07-15 20:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-07-12 13:17 . 2010-07-15 20:41	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\eacwyychc
2010-07-07 11:00 . 2010-07-07 11:00	552	----a-w-	c:\windows\system32\d3d8caps.dat

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-27 00:30 . 2010-06-13 17:54	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-07-26 17:22 . 2008-03-06 01:11	--------	d-----w-	c:\program files\Fichiers communs\Apple
2010-07-26 17:14 . 2010-07-26 17:14	73000	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2010-07-22 23:09 . 2006-11-27 01:46	--------	d-----w-	c:\program files\McAfee
2010-07-19 17:34 . 2006-11-30 18:34	--------	d-----w-	c:\documents and settings\All Users\Application Data\McAfee
2010-07-19 07:04 . 2007-03-22 21:18	--------	d-----w-	c:\program files\Yahoo!
2010-07-17 23:41 . 2008-08-12 20:47	--------	d-----w-	c:\program files\Alwil Software
2010-07-15 20:08 . 2010-07-15 20:09	300384	----a-w-	c:\documents and settings\Administrateur\Application Data\McAfee\Supportability\MVTLogs\Results\detect.dll
2010-07-15 20:08 . 2006-11-27 01:46	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\McAfee
2010-06-21 13:52 . 2010-06-20 23:17	--------	d-----w-	c:\program files\WiFi Engine
2010-06-15 18:25 . 2006-08-31 06:06	87136	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-06-15 18:21 . 2009-04-03 21:02	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-06-15 18:20 . 2010-06-09 22:53	--------	d-----w-	c:\program files\Final Fantasy VII Origin
2010-06-15 18:10 . 2010-06-13 17:44	--------	d-----w-	c:\program files\GameSpy Arcade
2010-06-15 18:07 . 2005-10-18 17:47	86274	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-15 18:07 . 2005-10-18 17:47	514630	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-13 17:43 . 2010-06-13 17:43	--------	d-----w-	c:\program files\Microsoft Games
2010-05-29 02:48 . 2010-05-29 02:48	503808	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-24a40958-n\msvcp71.dll
2010-05-29 02:48 . 2010-05-29 02:48	499712	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-24a40958-n\jmc.dll
2010-05-29 02:48 . 2010-05-29 02:48	348160	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-24a40958-n\msvcr71.dll
2010-05-29 01:40 . 2010-05-15 22:59	443912	----a-w-	c:\documents and settings\Administrateur\Application Data\Real\Update\setup3.10\setup.exe
2010-05-18 20:35 . 2010-05-18 20:35	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-05-18 20:35 . 2010-05-18 20:35	197920	----a-w-	c:\windows\system32\dnssdX.dll
2010-05-18 20:35 . 2010-05-18 20:35	107808	----a-w-	c:\windows\system32\dns-sd.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ftutil2"="ftutil2.dll" [2004-06-07 106496]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-25 7311360]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2009-10-02 198160]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-19 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-19 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

c:\documents and settings\Default User\Menu D'marrer\Programmes\D'marrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-5-9 27136]

c:\documents and settings\Default User\Menu D'marrer\Programmes\D'marrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-5-9 27136]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

c:\documents and settings\Default User\Menu D'marrer\Programmes\D'marrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-5-9 27136]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlwaysReady Power Message APP]
2005-08-02 23:15	77312	----a-w-	c:\windows\arpwrmsg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2005-08-05 17:34	64512	----a-w-	c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-02-19 06:41	49152	----a-w-	c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPBootOp]
2006-02-15 19:34	249856	----a-w-	c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-07-21 19:53	141608	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
2005-02-02 21:44	61440	----a-w-	c:\hp\KBD\kbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
2005-06-08 19:44	196608	----a-w-	c:\program files\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
2005-06-08 20:24	458752	----a-w-	c:\program files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
2005-06-08 20:14	217088	----a-w-	c:\program files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 20:44	3883856	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg
wiz]
2006-01-25 02:15	1519616	----a-w-	c:\windows\system32
wiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
2005-07-22 19:14	237568	----a-w-	c:\windows\SMINST\Recguard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
2004-12-13 23:23	663552	----a-w-	c:\windows\CREATOR\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-03-08 11:54	16010240	----a-w-	c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SsAAD.exe]
2006-01-07 06:36	81920	----a-w-	c:\progra~1\Sony\SONICS~1\SSAAD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Compaq Connections\5577497\Program\Compaq Connections.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\TVUPlayer\TVUPlayer.exe"=
"c:\Program Files\Azureus\Azureus.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\WINDOWS\system32\rtcshare.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Persona\Persona.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-07-15 108289]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.2;c:\windows\system32\drivers\libusb0.sys [2010-07-26 28160]
S3 {5FD868F9-C488-4396-BD88905341F96FAE};{5FD868F9-C488-4396-BD88905341F96FAE};\??\c:\windows\TEMP\E2.tmp --> c:\windows\TEMP\E2.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Contenu du dossier 'Tâches planifiées'

2010-07-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 17:34]
.
.

lynxcool · Answer

------- Examen supplémentaire ------- 
. 
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 
uInternet Connection Wizard,ShellNext = iexplore 
uInternet Settings,ProxyOverride = *.local 
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 
IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-ca\msntabres.dll.mui/229?e8006a43e6a84dbe81ba4e48247134e5 
IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-ca\msntabres.dll.mui/230?e8006a43e6a84dbe81ba4e48247134e5 
Trusted Zone: internet 
Trusted Zone: mcafee.com 
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxp://secure.gopetslive.com/dev/GoPetsWeb.cab 
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profileszrn5vn8.default\ 
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q= 
FF - prefs.js: browser.search.selectedEngine - Google.com (in English) 
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157 
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q= 
FF - component: c:\program filesealealplayer\browserrecord\firefox\ext\components
prpffbrowserrecordext.dll 
FF - plugin: c:\program files\DivX\DivX Plus Web Player
pdivx32.dll 
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll 
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll 
FF - plugin: c:\program files\Mozilla Firefox\plugins
pyaxmpb.dll 
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll 
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ 

---- PARAMETRES FIREFOX ---- 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);  
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);  
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); 
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); 
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); 
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); 
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); 
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); 
. 
- - - - ORPHELINS SUPPRIMES - - - - 

HKCU-Run-ljifddaudio - qonolm.dll 
HKCU-Run-awwtsraudio - urstqr.dll 
HKLM-Run-McAfee Guardian - c:\program files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe 
HKLM-Run-ssqqrqaudio - qonolm.dll 
HKLM-Run-opommjaudio - urstqr.dll 
HKLM-Run-tuturqsys - mlkife.dll 
HKU-Default-Run-Dginuticaba - c:\windows\dmowoa.dll 
HKU-Default-Run-tustspaudio - qonolm.dll 
HKU-Default-Run-efdcawsys - mlkife.dll 
MSConfigStartUp-eMuleAutoStart - c:\documents and settings\Administrateur\Bureau\eMule\emule.exe 
MSConfigStartUp-MCAgentExe - c:\progra~1\mcafee.com\agent\mcagent.exe 
MSConfigStartUp-MCUpdateExe - c:\progra~1\mcafee.com\agent\mcupdate.exe 
MSConfigStartUp-MPFExe - c:\progra~1\McAfee.com\PERSON~1\MpfTray.exe 
MSConfigStartUp-MSKExe - c:\progra~1\mcafee\SPAMKI~1\spamkiller.exe 
MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe 
MSConfigStartUp-Yahoo! Pager - c:\progra~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE 
AddRemove-DivX Content Uploader - c:\program files\DivX\DivXContentUploaderUninstall.exe 
AddRemove-Episode 103 - The Mole, The Mob, and the Meatball - c:\documents and settings\Administrateur\Bureau\Truc De SAAD\jeux	élécharger\Sam and Max - Season One\Episode 103\Sam and Max - Season One\Uninstall Episode 103 - The Mole 
AddRemove-Episode 104 - Abe Lincoln Must Die! - c:\documents and settings\Administrateur\Bureau\Truc De SAAD\jeux	élécharger\Sam and Max - Season One\Episode 104\Sam and Max - Season One\Uninstall Episode 104 - Abe Lincoln Must Die.exe 
AddRemove-Episode 105 - Reality 2.0 - c:\documents and settings\Administrateur\Bureau\Truc De SAAD\jeux	élécharger\Sam and Max - Season One\Episode 105\Sam and Max - Season One\Uninstall Episode 105 - Reality 2.0.exe 
AddRemove-Episode 106 - Bright Side of the Moon - c:\documents and settings\Administrateur\Bureau\Truc De SAAD\jeux	élécharger\Sam and Max - Season One\Uninstall Episode 106 - Bright Side of the Moon.exe 
AddRemove-Language pack for Ad-Aware SE - c:\progra~1\Lavasoft\AD-AWA~1\Plugins\Langs\UNWISE.EXE 
AddRemove-{7B63B2922B174135AFC0E1377DD81EC2} - c:\program files\DivX\DivXCodecUninstall.exe 



************************************************************************** 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 
Rootkit scan 2010-07-29 13:01 
Windows 5.1.2600 Service Pack 3 NTFS 

Recherche de processus cachés ...  

Recherche d'éléments en démarrage automatique cachés ...  

Recherche de fichiers cachés ...  

Scan terminé avec succès 
Fichiers cachés: 0 

************************************************************************** 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services
pggsvc] 
"ImagePath"="c:\windows\system32\GameMon.des -service" 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{5FD868F9-C488-4396-BD88905341F96FAE}] 
"ImagePath"="\??\c:\windows\TEMP\E2.tmp" 
. 
--------------------- CLES DE REGISTRE BLOQUEES --------------------- 

[HKEY_USERS\S-1-5-21-128699749-2185172225-3339263899-500\Software\Microsoft\Internet Explorer\User Preferences] 
@Denied: (2) (Administrator) 
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, 
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f6,3b,d7,90,11,c9,df,48,ba,f6,bd,\ 
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, 
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,09,f2,bf,a4,06,62,66,4b,a9,e9,7e,\ 

[HKEY_USERS\S-1-5-21-128699749-2185172225-3339263899-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] 
"??"=hex:55,4d,c7,b6,58,63,d1,9a,c1,56,5f,cf,fc,c1,e6,49,68,2d,7a,f3,a2,a6,37, 
   f8,63,d5,14,a4,d1,cc,5d,cf,aa,e1,9d,1d,96,59,f5,5c,1c,0f,5b,ea,47,ad,a4,c7,\ 
"??"=hex:94,ed,81,1b,be,2d,c9,67,ab,39,6f,58,6f,64,c9,f9 

[HKEY_USERS\S-1-5-21-128699749-2185172225-3339263899-500\Software\SecuROM\License information*] 
"datasecu"=hex:5a,46,28,e7,e0,21,4e,56,27,12,93,50,a6,ab,86,1a,77,ed,cf,68,d9, 
   a1,62,c1,6d,63,06,66,27,09,b2,3c,89,d1,b3,1a,23,00,85,e9,d0,ac,2a,84,18,49,\ 
"rkeysecu"=hex:09,41,c0,c3,68,dd,05,e4,70,c4,8f,ca,76,cc,6c,98 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*] 
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" 
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL" 
. 
--------------------- DLLs chargées dans les processus actifs --------------------- 

- - - - - - - > 'explorer.exe'(3504) 
c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll 
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.dll 
c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\PDFShell.FRA 
c:\windows\system32\eappprxy.dll 
c:\windows\system32\webcheck.dll 
c:\windows\system32\WPDShServiceObj.dll 
c:\windows\system32\PortableDeviceTypes.dll 
c:\windows\system32\PortableDeviceApi.dll 
. 
------------------------ Autres processus actifs ------------------------ 
. 
c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exe 
c:\program files\Avira\AntiVir Desktop\avguard.exe 
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe 
c:\windows\arservice.exe 
c:\program files\Bonjour\mDNSResponder.exe 
c:\windows\eHome\ehRecvr.exe 
c:\windows\eHome\ehSched.exe 
c:\program files\Java\jre6\bin\jqs.exe 
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe 
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 
c:\windows\system32
vsvc32.exe 
c:\windows\system32\HPZipm12.exe 
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe 
c:\windows\ehome\mcrdsvc.exe 
c:\windows\system32\dllhost.exe 
c:\windows\system32\wbem\wmiapsrv.exe 
c:\program files\iPod\bin\iPodService.exe 
c:\windows\system32\wscntfy.exe 
. 
************************************************************************** 
. 
Heure de fin: 2010-07-29  13:08:36 - La machine a redémarré 
ComboFix-quarantined-files.txt  2010-07-29 17:08 

Avant-CF: 92 839 231 488 octets libres 
Après-CF: 94 225 809 408 octets libres 

- - End Of File - - 9EAC4B617C51187F8BC7F7B7B923C668 

www.le-boss-ff7.kazeo.com

lynxcool · Answer

ZHPDiag

http://cjoint.com/data/hDt6PevoIw.htm

Utilisateur anonyme · Answer

re

Pour commencer:

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

 Clique sur " parcourir ", cherche ce fichier : 

c:\windows\system32\o.dat


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

 Attends la fin. Il doit comprendre la taille du fichier envoyé. 

 Sauvegarde le rapport avec le bloc-notes. 

 Copie le dans ta réponse. 

(!) Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyser le fichier maintenant


Je regarde ton rapport ZHPDiag.

@+

lynxcool · Answer

AhnLab-V3 2010.07.29.00 2010.07.28 Trojan/Win32.CSon AntiVir 8.2.4.32 2010.07.29 - Antiy-AVL 2.0.3.7 2010.07.29 - Authentium 5.2.0.5 2010.07.29 - Avast 4.8.1351.0 2010.07.29 Win32:Malware-gen Avast5 5.0.332.0 2010.07.29 Win32:Malware-gen AVG 9.0.0.851 2010.07.29 SHeur3.ANNP BitDefender 7.2 2010.07.29 Trojan.Generic.KD.21870 CAT-QuickHeal 11.00 2010.07.29 - ClamAV 0.96.0.3-git 2010.07.29 - Comodo 5582 2010.07.29 - DrWeb 5.0.2.03300 2010.07.29 - Emsisoft 5.0.0.34 2010.07.29 Trojan.Win32.Vundo!IK eSafe 7.0.17.0 2010.07.29 Win32.GenericObfusca eTrust-Vet 36.1.7748 2010.07.29 - F-Prot 4.6.1.107 2010.07.29 - F-Secure 9.0.15370.0 2010.07.29 Trojan.Generic.KD.21870 Fortinet 4.1.143.0 2010.07.29 - GData 21 2010.07.29 Trojan.Generic.KD.21870 Ikarus T3.1.1.84.0 2010.07.29 Trojan.Win32.Vundo Jiangmin 13.0.900 2010.07.29 - Kaspersky 7.0.0.125 2010.07.29 - McAfee 5.400.0.1158 2010.07.29 Generic Obfuscated.g McAfee-GW-Edition 2010.1 2010.07.29 Artemis!37DAA90E9A89 Microsoft 1.6004 2010.07.29 - NOD32 5324 2010.07.29 a variant of Win32/Kryptik.FSJ Norman 6.05.11 2010.07.29 - nProtect 2010-07-29.01 2010.07.29 Trojan.Generic.KD.21870 Panda 10.0.2.7 2010.07.29 Trj/CI.A PCTools 7.0.3.5 2010.07.29 - Prevx 3.0 2010.07.29 Medium Risk Malware Rising 22.58.03.04 2010.07.29 Trojan.Win32.Generic.52215A71 Sophos 4.55.0 2010.07.29 Sus/UnkPack-C Sunbelt 6659 2010.07.29 Trojan.Win32.Generic!BT SUPERAntiSpyware 4.40.0.1006 2010.07.29 - Symantec 20101.1.1.7 2010.07.29 - TheHacker 6.5.2.1.326 2010.07.27 - TrendMicro 9.120.0.1004 2010.07.29 - TrendMicro-HouseCall 9.120.0.1004 2010.07.29 - VBA32 3.12.12.6 2010.07.28 - ViRobot 2010.7.29.3963 2010.07.29 - VirusBuster 5.0.27.0 2010.07.29 - Information additionnelle File size: 73216 bytes MD5...: 37daa90e9a89f6a238ccace8731331b3 SHA1..: f6616844e88e696be95bdc413855958a77b3ee68 SHA256: 20343d3cc0b381d2404915f0abaf25b3ca0de879bdd44e5492e96da21e8e2d6c ssdeep: 1536:J38jSqRik/nx3xxz+Bb3QbiA/jVmYK9KqkTDklWpKLcu2M9O6/ggs+v9/uw V:4dRDdit6EwbFyWYT4gDRh PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1000 timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x4000 0x4000 7.69 091368d4d5862fbea64947b86f2d1eae .rdata 0x5000 0x6000 0x5a00 7.77 e7f2b6740d946bf0667261a04f7ba7ed .data 0xb000 0x5000 0x4400 7.99 ab04e5edcf960c2247da9c2c8f223440 .idata 0x10000 0x1000 0xa00 5.28 26ed82ce229101a96c90ee717e41f30a .rsrc 0x11000 0x4000 0x3200 4.53 de47f091c67ac9cca7617b20a71f8532 ( 9 imports ) > KERNEL32.dll: CloseHandle, CompareStringA, DeleteFileA, EnumResourceNamesA, ExitProcess, GetACP, GetCommandLineA, GetLastError, GetModuleHandleA, GetOEMCP, GetStartupInfoA, GetSystemTime, HeapAlloc, InterlockedIncrement, LeaveCriticalSection, RtlUnwind, SetErrorMode, SetLastError, WritePrivateProfileSectionA, lstrcmpA > advapi32.dll: RegCloseKey, RegEnumKeyA, RegLoadKeyA, RegOpenKeyExA, RegQueryValueA, LookupPrivilegeValueA > ole32.dll: CoCreateInstance, CoInitialize, CoUninitialize, CreateDataAdviseHolder, StringFromGUID2, CoGetClassObject, RevokeDragDrop, OleUninitialize, OleSetClipboard, CoRevokeClassObject, OleInitialize > user32.dll: ShowOwnedPopups, ShowCursor, MessageBoxA, LoadMenuA, DrawMenuBar, DeleteMenu, CopyRect, CharUpperBuffA, ChangeMenuA, CreateCursor > shell32.dll: ShellExecuteW, Shell_NotifyIconA, SHBindToParent, SHFileOperationA, SHGetDesktopFolder, SHGetFileInfoA, SHGetMalloc, SHGetPathFromIDListA, ShellExecuteExA, ShellExecuteA > shlwapi.dll: StrStrIA, PathIsRelativeA, PathFileExistsA, PathCompactPathExA, PathCanonicalizeA > imm32.dll: ImmGetContext, ImmGetCompositionStringW, ImmReleaseContext, ImmSetCompositionFontA, ImmSetCompositionWindow > msvcrt.dll: memcpy, sscanf, vsprintf, fflush, memset > oleaut32.dll: SysFreeString, SysStringLen, VariantChangeTypeEx, VariantClear, LoadTypeLib, SysAllocStringLen ( 9 exports ) Aoloycuvw, Jtpahyqfnvm, Lrlqyetjwq, Ogk, Qmqjkpecu, Qr, Sob, Unhdap, Xf RDS...: NSRL Reference Data Set - sigcheck: publisher....: BitTorrent, Inc. copyright....: (c)2008 BitTorrent, Inc. All Rights Reserved. product......: _Torrent description..: _Torrent original name: n/a internal name: n/a file version.: 1.8.1.12639 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned trid..: Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) http://info.prevx.com/aboutprogramtext.asp?PX5=BBF20E420090EEE91E4C018E0BA1A600F3E7C0D4 Symantec Reputation Network: Suspicious.Insight https://www.broadcom.com/support/security-center pdfid.: -

Utilisateur anonyme · Answer

Re

Ok,on avance:

1)ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===| 
                ----------------------------------------------------------------------------------------------- 

Toujours avec toutes les protections désactivées, fais ceci : 

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) 
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : 

                                       ---------------------------------------------------------- 


KillAll:: 

File::
c:\windows\system32\o.dat
c:\documents and settings\NetworkService\Local Settings\Application Data\eacwyychc

                              -----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt 
* Quitte le Bloc Notes 

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif 

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt



2)Utilsation de l'outil ZHPFix : 

> Lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal (qui est vierge), copie/colle tout le texte qui se trouve ci-dessous  (et rien d'autre !) : 

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify  
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify
O4 - HKLM\..\Run: [sysftray2] c:\windows\fbtre6.exe (.not file.)    
O4 - HKLM\..\Run: [ssqqrqaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe    
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe    
O4 - HKLM\..\Run: [McAfee Guardian] C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe (.not file.)    
O4 - HKLM\..\Run: [ssqqrqaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe    
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe    
O4 - HKLM\..\Run: [opommjaudio] rundll32.exe "urstqr.dll",s (.not file.)
O4 - HKLM\..\Run: [tuturqsys] rundll32.exe "mlkife.dll",s (.not file.)
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe    
O4 - HKCU\..\Run: [ljifddaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKCU\..\Run: [awwtsraudio] rundll32.exe "urstqr.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [Dginuticaba] C:\WINDOWS\dmowoa.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [tustspaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [efdcawsys] rundll32.exe "mlkife.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [Dginuticaba] C:\WINDOWS\dmowoa.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [tustspaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [efdcawsys] rundll32.exe "mlkife.dll",s (.not file.)
O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe    
O4 O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [ljifddaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [awwtsraudio] rundll32.exe "urstqr.dll",s (.not file.)

Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

* Puis clique sur le bouton [ OK] . 
> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées. 

* Enfin clique sur le bouton [ Nettoyer]. 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 

Pense à réactiver tes défenses !...



Poste les rapports au fur et à mesure;merci.

@+

lynxcool · Answer

je vais poster en deux parties

ComboFix 10-07-29.01 - Administrateur 2010-07-29  15:40:48.2.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.2.1036.18.1982.1488 [GMT -4:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\asdehi.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
FW: Norton Internet Worm Protection *disabled* {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}

FILE ::
"c:\documents and settings\NetworkService\Local Settings\Application Data\eacwyychc"
"c:\windows\system32\o.dat"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\o.dat

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-06-28 au 2010-07-29  ))))))))))))))))))))))))))))))))))))
.

2010-07-29 11:16 . 2010-07-29 11:45	--------	d-----w-	c:\program files\Ad-Remover
2010-07-29 09:50 . 2010-07-29 09:51	--------	d-----w-	c:\program files\ZHPDiag
2010-07-29 09:04 . 2010-07-29 09:06	--------	d---a-w-	C:\Navilog1
2010-07-29 00:13 . 2010-07-29 00:18	--------	d-----w-	c:\program files\NirSoft
2010-07-26 20:02 . 2010-07-26 21:09	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Temp
2010-07-26 19:43 . 2010-07-29 02:30	--------	d-----w-	c:\program files\7-Zip
2010-07-26 19:36 . 2010-07-26 20:22	--------	d-----w-	c:\program files\LibUSB-Win32
2010-07-26 19:36 . 2009-07-07 22:53	28160	----a-w-	c:\windows\system32\drivers\libusb0.sys
2010-07-26 19:36 . 2009-07-07 22:52	41984	----a-w-	c:\windows\system32\libusb0.dll
2010-07-26 17:22 . 2010-07-26 17:22	--------	d-----w-	c:\program files\iPod
2010-07-26 17:22 . 2010-07-26 17:23	--------	d-----w-	c:\program files\iTunes
2010-07-26 17:22 . 2010-07-26 17:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-26 17:19 . 2010-07-26 17:19	--------	d-----w-	c:\program files\QuickTime
2010-07-26 17:16 . 2010-07-26 17:16	--------	d-----w-	c:\program files\Bonjour
2010-07-22 05:40 . 2010-07-22 05:40	--------	d-----w-	c:\windows\system32\wbem\Repository
2010-07-22 05:27 . 2010-07-22 05:39	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2010-07-21 17:55 . 2010-07-21 17:55	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Mozilla
2010-07-21 17:54 . 2010-07-21 17:54	--------	d-----w-	c:\documents and settings\LocalService\Application Data\McAfee
2010-07-16 07:45 . 2010-07-16 07:45	--------	d-----w-	c:\documents and settings\All Users\Application Data\Alwil Software
2010-07-15 21:07 . 2010-07-15 21:07	--------	d-s---w-	c:\documents and settings\LocalService\Favoris
2010-07-15 20:23 . 2009-11-25 16:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-07-15 20:23 . 2009-03-30 14:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-07-15 20:23 . 2009-02-13 16:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-07-15 20:23 . 2009-02-13 16:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-07-15 20:23 . 2010-07-15 20:23	--------	d-----w-	c:\program files\Avira
2010-07-15 20:23 . 2010-07-15 20:23	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-07-12 13:17 . 2010-07-15 20:41	--------	d-----w-	c:\documents and settings\NetworkService\Local Settings\Application Data\eacwyychc
2010-07-07 11:00 . 2010-07-07 11:00	552	----a-w-	c:\windows\system32\d3d8caps.dat

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-27 00:30 . 2010-06-13 17:54	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-07-26 17:22 . 2008-03-06 01:11	--------	d-----w-	c:\program files\Fichiers communs\Apple
2010-07-26 17:14 . 2010-07-26 17:14	73000	----a-w-	c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.2.1.5\SetupAdmin.exe
2010-07-22 23:09 . 2006-11-27 01:46	--------	d-----w-	c:\program files\McAfee
2010-07-19 17:34 . 2006-11-30 18:34	--------	d-----w-	c:\documents and settings\All Users\Application Data\McAfee
2010-07-19 07:04 . 2007-03-22 21:18	--------	d-----w-	c:\program files\Yahoo!
2010-07-17 23:41 . 2008-08-12 20:47	--------	d-----w-	c:\program files\Alwil Software
2010-07-15 20:08 . 2010-07-15 20:09	300384	----a-w-	c:\documents and settings\Administrateur\Application Data\McAfee\Supportability\MVTLogs\Results\detect.dll
2010-07-15 20:08 . 2006-11-27 01:46	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\McAfee
2010-06-21 13:52 . 2010-06-20 23:17	--------	d-----w-	c:\program files\WiFi Engine
2010-06-15 18:25 . 2006-08-31 06:06	87136	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-06-15 18:21 . 2009-04-03 21:02	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-06-15 18:20 . 2010-06-09 22:53	--------	d-----w-	c:\program files\Final Fantasy VII Origin
2010-06-15 18:10 . 2010-06-13 17:44	--------	d-----w-	c:\program files\GameSpy Arcade
2010-06-15 18:07 . 2005-10-18 17:47	86274	----a-w-	c:\windows\system32\perfc00C.dat
2010-06-15 18:07 . 2005-10-18 17:47	514630	----a-w-	c:\windows\system32\perfh00C.dat
2010-06-13 17:43 . 2010-06-13 17:43	--------	d-----w-	c:\program files\Microsoft Games
2010-05-29 02:48 . 2010-05-29 02:48	503808	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-24a40958-n\msvcp71.dll
2010-05-29 02:48 . 2010-05-29 02:48	499712	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-24a40958-n\jmc.dll
2010-05-29 02:48 . 2010-05-29 02:48	348160	----a-w-	c:\documents and settings\Administrateur\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-24a40958-n\msvcr71.dll
2010-05-29 01:40 . 2010-05-15 22:59	443912	----a-w-	c:\documents and settings\Administrateur\Application Data\Real\Update\setup3.10\setup.exe
2010-05-18 20:35 . 2010-05-18 20:35	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-05-18 20:35 . 2010-05-18 20:35	197920	----a-w-	c:\windows\system32\dnssdX.dll
2010-05-18 20:35 . 2010-05-18 20:35	107808	----a-w-	c:\windows\system32\dns-sd.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ftutil2"="ftutil2.dll" [2004-06-07 106496]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-01-25 7311360]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OBealsched.exe" [2009-10-02 198160]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-12 39792]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 81920]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-06-19 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-19 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]

c:\documents and settings\Default User\Menu D'marrer\Programmes\D'marrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-5-9 27136]

c:\documents and settings\Default User\Menu D'marrer\Programmes\D'marrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-5-9 27136]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
RocketDock.lnk - c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-3-18 630784]

c:\documents and settings\Default User\Menu D'marrer\Programmes\D'marrage\
Pin.lnk - c:\hp\bin\CLOAKER.EXE [2006-5-9 27136]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlwaysReady Power Message APP]
2005-08-02 23:15	77312	----a-w-	c:\windows\arpwrmsg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]
2005-08-05 17:34	64512	----a-w-	c:\windows\ehome\ehtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2006-02-19 06:41	49152	----a-w-	c:\program files\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPBootOp]
2006-02-15 19:34	249856	----a-w-	c:\program files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-07-21 19:53	141608	----a-w-	c:\program files\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KBD]
2005-02-02 21:44	61440	----a-w-	c:\hp\KBD\kbd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
2005-06-08 19:44	196608	----a-w-	c:\program files\Logitech\Video\ManifestEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
2005-06-08 20:24	458752	----a-w-	c:\program files\Logitech\Video\ISStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
2005-06-08 20:14	217088	----a-w-	c:\program files\Logitech\Video\LogiTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-07-26 20:44	3883856	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg
wiz]
2006-01-25 02:15	1519616	----a-w-	c:\windows\system32
wiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard]
2005-07-22 19:14	237568	----a-w-	c:\windows\SMINST\Recguard.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder]
2004-12-13 23:23	663552	----a-w-	c:\windows\CREATOR\Remind_XP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2006-03-08 11:54	16010240	----a-w-	c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SsAAD.exe]
2006-01-07 06:36	81920	----a-w-	c:\progra~1\Sony\SONICS~1\SSAAD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Compaq Connections\5577497\Program\Compaq Connections.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hposid01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"=
"c:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"=
"c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\TVUPlayer\TVUPlayer.exe"=
"c:\Program Files\Azureus\Azureus.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\WINDOWS\system32\rtcshare.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Persona\Persona.exe"=
"c:\Program Files\LimeWire\LimeWire.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Real\RealPlayer\realplay.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-07-15 108289]
R3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.12.2;c:\windows\system32\drivers\libusb0.sys [2010-07-26 28160]
S3 {5FD868F9-C488-4396-BD88905341F96FAE};{5FD868F9-C488-4396-BD88905341F96FAE};\??\c:\windows\TEMP\E2.tmp --> c:\windows\TEMP\E2.tmp [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Contenu du dossier 'Tâches planifiées'

2010-07-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 17:34]
.
.

lynxcool · Answer

------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Ouvrir dans un nouvel onglet d'arrière-plan - c:\program files\Windows Live Toolbar\Components\fr-ca\msntabres.dll.mui/229?e8006a43e6a84dbe81ba4e48247134e5
IE: Ouvrir dans un nouvel onglet de premier plan - c:\program files\Windows Live Toolbar\Components\fr-ca\msntabres.dll.mui/230?e8006a43e6a84dbe81ba4e48247134e5
Trusted Zone: internet
Trusted Zone: mcafee.com
DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} - hxxp://secure.gopetslive.com/dev/GoPetsWeb.cab
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profileszrn5vn8.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google.com (in English)
FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
FF - component: c:\program filesealealplayer\browserrecord\firefox\ext\components
prpffbrowserrecordext.dll
FF - plugin: c:\program files\DivX\DivX Plus Web Player
pdivx32.dll
FF - plugin: c:\program files\Microsoft\Office Live
pOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
p-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pyaxmpb.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type",                  5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size",  4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-29 15:47
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{5FD868F9-C488-4396-BD88905341F96FAE}]
"ImagePath"="\??\c:\windows\TEMP\E2.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-128699749-2185172225-3339263899-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f6,3b,d7,90,11,c9,df,48,ba,f6,bd,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,09,f2,bf,a4,06,62,66,4b,a9,e9,7e,\

[HKEY_USERS\S-1-5-21-128699749-2185172225-3339263899-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:55,4d,c7,b6,58,63,d1,9a,c1,56,5f,cf,fc,c1,e6,49,68,2d,7a,f3,a2,a6,37,
   f8,63,d5,14,a4,d1,cc,5d,cf,aa,e1,9d,1d,96,59,f5,5c,1c,0f,5b,ea,47,ad,a4,c7,\
"??"=hex:94,ed,81,1b,be,2d,c9,67,ab,39,6f,58,6f,64,c9,f9

[HKEY_USERS\S-1-5-21-128699749-2185172225-3339263899-500\Software\SecuROM\License information*]
"datasecu"=hex:5a,46,28,e7,e0,21,4e,56,27,12,93,50,a6,ab,86,1a,77,ed,cf,68,d9,
   a1,62,c1,6d,63,06,66,27,09,b2,3c,89,d1,b3,1a,23,00,85,e9,d0,ac,2a,84,18,49,\
"rkeysecu"=hex:09,41,c0,c3,68,dd,05,e4,70,c4,8f,ca,76,cc,6c,98

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2224)
c:\windows\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\windows\arservice.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\eHome\ehRecvr.exe
c:\windows\eHome\ehSched.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32
vsvc32.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\ehome\mcrdsvc.exe
c:\windows\system32\dllhost.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-07-29  15:53:32 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-07-29 19:53
ComboFix2.txt  2010-07-29 17:08

Avant-CF: 93 963 534 336 octets libres
Après-CF: 93 950 844 928 octets libres

- - End Of File - - 3E9B3B2550A29887888FF4031A2E01D9

lynxcool · Answer

pour ZHPFix j'ai pas compris pour l'encadrer vierge

Utilisateur anonyme · Answer

Re

Il me manque le rapport ZHPFix...



1)Désinstalle Ad aware mais tu conserveras Malwaresbytes en lieu et place.

2)* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche):    http://pagesperso-orange.fr/NosTools/tuto_adr_2.html


3)Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's. 

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


poste les rapports au fur et à mesure;merci.

@+

lynxcool · Answer

j'ai déjà Ad_remover c'est électricien qui me l'a fait ajouté

Utilisateur anonyme · Answer

Re

Alors ,lance le...

lynxcool · Answer

je sais ^^

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 26/07/10 à 12:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 17:45:26 le 29/07/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Administrateur@NAIMA1956 ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.



============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profileszrn5vn8.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Administrateur\Bureau
browser.search.defaultenginename, Google
browser.search.defaulturl, hxxp://search.live.com/results.aspx?FORM=IEFM1&q=
browser.search.selectedEngine, Google.com (in English)
browser.startup.homepage, hxxp://go.microsoft.com/fwlink/?LinkId=69157
browser.startup.homepage_override.mstone, rv:1.9.2.8
keyword.URL, hxxp://www.google.com/search?sourceid=navclient&hl=fr&q=
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 602 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/07/2010 (3751 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 29/07/2010 (2403 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 29/07/2010 (457 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 29/07/2010 (457 Octet(s)) 
C:\Ad-Report-SCAN[3].txt - 29/07/2010 (3596 Octet(s)) 

Fin à: 17:49:01, 29/07/2010 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Re

Pourtant cela parait clair...

2)Utilsation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H] ( "coller les lignes Helper" ) .

* Dans l'encadré principal (qui est vierge), copie/colle tout le texte qui se trouve ci-dessous (et rien d'autre !) :

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify
O4 - HKLM\..\Run: [sysftray2] c:\windows\fbtre6.exe (.not file.)
O4 - HKLM\..\Run: [ssqqrqaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [McAfee Guardian] C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe (.not file.)
O4 - HKLM\..\Run: [ssqqrqaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [opommjaudio] rundll32.exe "urstqr.dll",s (.not file.)
O4 - HKLM\..\Run: [tuturqsys] rundll32.exe "mlkife.dll",s (.not file.)
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ljifddaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKCU\..\Run: [awwtsraudio] rundll32.exe "urstqr.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [Dginuticaba] C:\WINDOWS\dmowoa.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [tustspaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [efdcawsys] rundll32.exe "mlkife.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [Dginuticaba] C:\WINDOWS\dmowoa.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [tustspaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [efdcawsys] rundll32.exe "mlkife.dll",s (.not file.)
O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [ljifddaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [awwtsraudio] rundll32.exe "urstqr.dll",s (.not file.)

Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK] .
> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [ Nettoyer].


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

Pense à réactiver tes défenses !... 

@+

lynxcool · Answer

le problème c'est que quand j'appuie sur le H je ne vois pas d'encadré vierge

Utilisateur anonyme · Answer

re

La fenêtre en dessous n'est peut être pas assez grande;)

@+

lynxcool · Answer

tu peux me dire EXACTEMENT où est-ce que c'est (moi non plus je sais pas pourquoi je comprend rien -_-'')

Utilisateur anonyme · Answer

re

Tu ouvres ZHPFix.
Là s'ouvre une fenêtre.
Des icônes sont présentes dans la partie supérieure de celle ci.
Tu cliques sur le bouton [ H] ( "coller les lignes Helper" ) .

* Dans l'encadré principal (qui est vierge) qui se situe juste en dessous de ces icônes,  tu copies/colles tout le texte qui se trouve ci-dessous (et rien d'autre !) :

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify
O4 - HKLM\..\Run: [sysftray2] c:\windows\fbtre6.exe (.not file.)
O4 - HKLM\..\Run: [ssqqrqaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [McAfee Guardian] C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe (.not file.)
O4 - HKLM\..\Run: [ssqqrqaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [opommjaudio] rundll32.exe "urstqr.dll",s (.not file.)
O4 - HKLM\..\Run: [tuturqsys] rundll32.exe "mlkife.dll",s (.not file.)
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ljifddaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKCU\..\Run: [awwtsraudio] rundll32.exe "urstqr.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [Dginuticaba] C:\WINDOWS\dmowoa.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [tustspaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [efdcawsys] rundll32.exe "mlkife.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [Dginuticaba] C:\WINDOWS\dmowoa.dll (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [tustspaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [efdcawsys] rundll32.exe "mlkife.dll",s (.not file.)
O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [ljifddaudio] rundll32.exe "qonolm.dll",s (.not file.)
O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [awwtsraudio] rundll32.exe "urstqr.dll",s (.not file.)

Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK] .
> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [ Nettoyer].


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

Pense à réactiver tes défenses !... 

J'espère avoir été clair;o)

@+

lynxcool · Answer

ok lol merci :D

lynxcool · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4368

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-07-29 21:07:33
mbam-log-2010-07-29 (21-07-33).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 315627
Temps écoulé: 1 heure(s), 40 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e596df5f-4239-4d40-8367-ebadf0165917} (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{0ac49246-419b-4ee0-8917-8818daad6a4e} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{f31a5d11-bf0b-4a4e-90af-274f2090aaa6} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS	55ft5238f44.dat (Worm.KoobFace) -> Quarantined and deleted successfully.

lynxcool · Answer

Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-2010-07-29-21-33-40.txt
Run by Administrateur at 2010-07-29 21:33:40
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [sysftray2] c:\windows\fbtre6.exe (.not file.)  => Valeur absente
O4 - HKLM\..\Run: [ssqqrqaudio] rundll32.exe "qonolm.dll",s (.not file.)  => Valeur absente
O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [McAfee Guardian] C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe (.not file.)  => Valeur absente
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [opommjaudio] rundll32.exe "urstqr.dll",s (.not file.)  => Valeur absente
O4 - HKLM\..\Run: [tuturqsys] rundll32.exe "mlkife.dll",s (.not file.)  => Valeur absente
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [ljifddaudio] rundll32.exe "qonolm.dll",s (.not file.)  => Valeur absente
O4 - HKCU\..\Run: [awwtsraudio] rundll32.exe "urstqr.dll",s (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [Dginuticaba] C:\WINDOWS\dmowoa.dll (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [tustspaudio] rundll32.exe "qonolm.dll",s (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [efdcawsys] rundll32.exe "mlkife.dll",s (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur absente
O4 O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [ljifddaudio] rundll32.exe "qonolm.dll",s (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-21-128699749-2185172225-3339263899-500\..\Run: [awwtsraudio] rundll32.exe "urstqr.dll",s (.not file.)  => Valeur absente

========== Fichier(s) ==========
c:\program files\fichiers communs\real\update_ob\realsched.exe  => Supprimé et mis en quarantaine
c:\program files\adobe\reader 8.0\reader\reader_sl.exe  => Supprimé et mis en quarantaine
c:\program files\quicktime\qttask.exe  => Supprimé et mis en quarantaine
c:\program files\itunes\ituneshelper.exe  => Supprimé et mis en quarantaine
c:\windows\system32\ctfmon.exe  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
18 : Valeur(s) du Registre
5 : Fichier(s)


End of the scan

Utilisateur anonyme · Answer

Bonjour

Poste moi un nouveau ZPHDiag pour contrôle;merci.

@+

lynxcool · Answer

http://cjoint.com/data/hEpuPDufO4.htm

Utilisateur anonyme · Answer

Re

> Lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal (qui est vierge), copie/colle tout le texte qui se trouve ci-dessous  (et rien d'autre !) : 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe     
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe     

Mbrfix

Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

* Puis clique sur le bouton [ OK] . 
> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées. 

* Enfin clique sur le bouton [ Nettoyer]. 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 

Pense à réactiver tes défenses !...

A+

lynxcool · Answer

Rapport de ZHPFix v1.12.3129 par Nicolas Coolman, Update du 27/07/2010
Fichier d'export Registre : 
Run by Administrateur at 2010-07-30 09:47:07
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x01749DA10 
malicious code @ sector 0x01749DA13 !
PE file found in sector at 0x01749DA29 !
 
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x01749DA10 
malicious code @ sector 0x01749DA13 !
PE file found in sector at 0x01749DA29 !


========== Récapitulatif ==========
2 : Valeur(s) du Registre
1 :Master Boot Record


End of the scan

Utilisateur anonyme · Answer

Re

Télécharge bootkit remover sur ton bureau  puis décompresse le sur ton bureau 

Télécharge BTKR_Runbox ( de jeanmimigab )   sur ton bureau. 

Note : Tu dois avoir ces  deux fichiers  sur ton bureau ->  Remover.exe  et  BTKR_Runbox.exe

Lance BTKR_Runbox , puis sélectionne l'option n°1 et valide par entrée 

Suis les indications puis poste moi le rapport.

lynxcool · Answer

Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600) System volume is \.\C: \.\C: -> \.\PhysicalDrive0 at offset 0x00000000'00007e00 Boot sector MD5 is: 04bb945744f67e09eac699dea7655d04 Size Device Name MBR Status -------------------------------------------- 186 GB \.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump [output_file] To disinfect the master boot sector, use the following command: remover.exe fix Done; Press any key to quit...

Utilisateur anonyme · Answer

Re

Ok,  relance BTKR_Runbox  et sélectionne cette fois ci l' option n°3 , appuie sur  entrée. 

Confirme en appuyant sur  " 1 "   puis entrée 

Le PC redémarrera. Refais un scan ( option 1 ) et poste le rapport.

@+

lynxcool · Answer

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \.\C:
\.\C: -> \.\PhysicalDrive0 at offset 0x00000000'00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

     Size  Device Name          MBR Status
 --------------------------------------------
   186 GB  \.\PhysicalDrive0   OK (DOS/Win32 Boot code found)

Done;



Press any key to quit...

Utilisateur anonyme · Answer

Re

Impeccable.

Passons aux mises à jour:

1)Pour java utilises javaRa https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara    

 et un autre tutoriel javaRa http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-cliques ou clic droit sous Vista  sur le répertoire JavaRa. 
* Puis double-cliques sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis cliques sur Select. 
* Cliques sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorises le processus à se connecter s'il le demande, cliques sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et cliques sur Effacer les anciennes versions. 
* Cliques sur Oui pour confirmer. Laisses travailler et cliques ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Postes-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

2)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour


Tiens moi au courant ;une fois que cela est fait.

Ce n'est pas fini...

@+

lynxcool · Answer

Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 

j'appuie sur rechercher mais sa ne marche pas

Utilisateur anonyme · Answer

Re

C'est pas grave ;on va procéder autrement.
Commence déjà par supprimer les anciennes versions.

ensuite rends toi ici pour récupérer la dernière version:
https://www.java.com/fr/

@+

lynxcool · Answer

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri Jul 30 16:41:33 2010

Found and removed: C:\Program Files\Java\jre1.6.0_06

Found and removed: Software\JavaSoft\Java2D\1.5.0_05

Found and removed: SOFTWARE\Classes\JavaPlugin.150_05

Found and removed: SOFTWARE\Classes\JavaWebStart.isInstalled.1.5.0.0

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

Found and removed: SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Program Files\Java\jre1.6.0_06\

------------------------------------

Finished reporting.

lynxcool · Answer

j'ai installé toute les mises à jour

Utilisateur anonyme · Answer

Bonjour

Passons donc au nettoyage:

1)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles 

 ---> Télécharge Toolscleaner  sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/
* Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista et Seven)pour le lancer. 
* Clique sur Recherche et laisse le scan agir. 
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives. 
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Supprime le ensuite( Le .exe et le  .txt)


2)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm


3)Supprime ce fichier sur le bureau:asdehi (ComboFix renommé)

4)Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

lynxcool · Answer

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\Combofix.txt: trouvé !
C:\cleannavi.txt: trouvé !
C:\Qoobox: trouvé !
C:\Navilog1: trouvé !
C:\Documents and Settings\Administrateur\Bureau\catchme.log: trouvé !
C:\Navilog1\Navilog1.bat: trouvé !
C:\Program Files\Ad-remover: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Program Files\ZHPDiag\catchme.exe: trouvé !
C:\Program Files\ZHPDiag\mbr.log: trouvé !
C:\Program Files\ZHPDiag\mbr.exe: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression: 

C:\Navilog1\Navilog1.bat: supprimé !
C:\Program Files\Ad-Remover\Backup\Ad-R.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\Program Files\ZHPDiag\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\cleannavi.txt: supprimé !
C:\Documents and Settings\Administrateur\Bureau\catchme.log: supprimé !
C:\Program Files\ZHPDiag\mbr.log: supprimé !
C:\Program Files\ZHPDiag\mbr.exe: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\Qoobox: supprimé !
C:\Navilog1: supprimé !
C:\Program Files\Ad-remover: supprimé !
C:\Program Files\ZHPDiag: supprimé !

lynxcool · Answer

donc j'ai fini? :D

Utilisateur anonyme · Answer

Re

Une dernière chose;supprime ces fichiers sur le bureau Bootkit remover et BTKR Runbox.

Si tu as purgé la restauration;oui c'est fini.

Et effectivement si tu n'as plus de problèmes ;je te propose de clore ce post.

@+

lynxcool · Answer

donc je guarde Malwarebytes et CCleaner (je clos juste après ta réponse)

Utilisateur anonyme · Answer

Re

Effectivement tu peux conserver ces deux utilitaires.
Pour les utiliser ;il faut toujours commencer par une mise à jour.

@+

Fenêtre intempestives contenant des virus

58 réponses

Discussions similaires

Newsletters