Animalwar doctor ! Comment le supprimé ?!!!

powersky12 Messages postés 20 Statut Membre -  
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,

J'ai récemment attrapé le virus Animalwar doctor ! Comment puis-je l'enlever ?
Merci d'avance !!

15 réponses

  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour et bienvenue sur CCM,

    Tu es infecté par un rogue (faux logiciel de sécurité).

    Imprime les instructions si tu peux car il est nécessaire de fermer toutes les fenêtres qui sont ouvertes pendant la procédure.

    1. Télécharge rkill (de Grinler) sur le bureau.

    !! Ne pas tenir compte des messages du rogue disant que rkill est infecté !!

    * Double-clique sur le rkill.exe
    * Patiente pendant le travail de l'outil (le programme cherche et termine les programmes malveillants)
    * A la fin, la fenêtre noire va se fermer automatiquement et tu peux passer à l'étape suivante.

    !! Ne redémarre pas l'ordinateur après l'exécution de rkill sinon les programmes malveillants vont recommencer !!

    Si rkill ne se lance pas, essaye les liens alternatifs suivants :
    http://download.bleepingcomputer.com/grinler/rkill.pif
    https://download.bleepingcomputer.com/grinler/rkill.scr
    https://download.bleepingcomputer.com/grinler/rkill.com

    2. Télécharge MBAM et installe le selon l'emplacement par défaut
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression

    Quelque soit le résultat, copie/colle le rapport dans le prochain message

    A +
    2
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    vide la qurantaine

    puis

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    1
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Malwarebytes a fait du ménage mais tu es bien infecté. Nous allons cet outil de diagnostic afin d'identifier les problèmes restant sur ton ordinateur.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    * Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

    * L'interface principale s'ouvre :
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    * Laisse tous les autres paramètres par défaut
    * Dans la partie du bas "Personnalisation" , copie/colle la liste en citation :

    netsvcs
    drivers32
    /md5start
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    vaxscsi.sys
    nvatabus.sys
    SiSRaid.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles 
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

    * Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    * Après le balayage, 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
    * Ne les poste pas sur le forum, ils seraient trop long
    * Héberge les sur http://www.cijoint.fr/
    * Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.

    A +
    1
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour kali

    je me retire..

    bonne chasse


    CONTRIBUTEUR SECURITE

    Désinfection = diagnostic + traitement + finalisation
    "Restez" jusqu'au bout...merci
    0
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      bonjour mdg,

      ah ben non, tu as été le plus rapide ;)

      ok alors, A +
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      (sourire)
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. powersky12 Messages postés 20 Statut Membre
     
    Merci , je vais faire ça et je reviens vous prevenir !
    0
  7. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Salut a tous -;)

    Doublon !!

    Powersky12: reste sur celui-ci et n'ouvre aucuns autres topiques ...
    0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Ok,

    N'hésite pas à me faire part d'éventuelles difficultés.

    A +
    0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    et bien les choses sont ainsi tranchées...

    merci Président !
    0
  10. powersky12 Messages postés 20 Statut Membre
     
    Pardon pour le doublon :/
    Donc oui excusez moi hier l'analyse prenant du temps je me suis endormi :S mais voici le rapport

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4525

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 7.0.6001.18000

    02/09/2010 07:43:18
    mbam-log-2010-09-02 (07-43-18).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 305486
    Temps écoulé: 1 heure(s), 32 minute(s), 38 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 6
    Valeur(s) du Registre infectée(s): 4
    Elément(s) de données du Registre infecté(s): 5
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 17

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    C:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\XBV6RD5SZF (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mediafix70700en02.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\*upd_debug.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xbv6rd5szf (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\metropolis (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\virginie\AppData\Roaming\1140B91353666268D1FAE08BFB601DEA\mediafix70700en02.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
    C:\Users\virginie\AppData\Roaming\1140B91353666268D1FAE08BFB601DEA\upd_debug.exe (Malware.Packer.Gen) -> Delete on reboot.
    C:\Users\virginie\AppData\Local\Temp\wxnocemsra.exe (Adware.BHO) -> Quarantined and deleted successfully.
    C:\Program Files\Cpuinf32.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\uipl.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\uiplA6.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\uiplM5.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\uiplM6.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\UIPLP5.DLL (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\uiplP6.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\uiplPX.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\uiplW7.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\uipp.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Program Files\uipp8x.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    C:\Windows\System32\sshnas21.dll (Trojan.FakeAlert) -> Delete on reboot.
    C:\Users\virginie\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    0
  11. powersky12 Messages postés 20 Statut Membre
     
    Et voilà le lien :-)

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijT1aZYy6.txt
    0
    1. powersky12 Messages postés 20 Statut Membre
       
      Ah j'ai fais pour moment de grace. Je vais faire ton analyse Kali
      0
  12. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Powersky12,
    Non laisse tomber, j'avais pas vu le message de mdg, Je croyais qu'il m'avait laissé la main.
    Je vous salut tout les 2 et bonne continuation car je dois partir
    Je te laisse entre 2 bonnes mains :)
    0
    1. powersky12 Messages postés 20 Statut Membre
       
      Ah ben j'ai quand même fais ton analyse ^^
      Merci de ton aide en tout cas! Bonne journée :)
      0
  13. powersky12 Messages postés 20 Statut Membre
     
    Kali voici les liens de l'analyse :

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijJwGLQz3.txt

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijlriOxRt.txt
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    il est gonfle ce Kali...(sourire)

    bon je te laisse définitivement la main, mon zhp n'est pas complet et olt je suis pas bon

    donc, c'est toi qui drive

    @ powersky12

    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Miroir:

    https://www.androidworld.fr/

    /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

    Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « NETTOYER »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    0
  15. powersky12 Messages postés 20 Statut Membre
     
    Voila le rapport :

    ======= RAPPORT D'AD-REMOVER 2.0.0.1,E | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par C_XX le 01/09/10 à 16:00
    Contact: AdRemover.contact[AT]gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 12:37:17 le 02/09/2010, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 1 (X86)
    virginie@PC-DE-GINIE (eMachines eMachines E625)

    ============== ACTION(S) ==============

    0,Dossier supprimé: C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    0,Fichier supprimé: C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
    0,Dossier supprimé: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\extensions\toolbar@ask.com
    0,Fichier supprimé: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\prefs.js.ask.bak
    0,Fichier supprimé: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\ask.uk.xml
    0,Fichier supprimé: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\cherche.xml
    0,Fichier supprimé: C:\Users\virginie\scriptjava.html
    0,Fichier supprimé: C:\Users\virginie\temp1.6
    0,Dossier supprimé: C:\Program Files\Ask Search Assistant
    0,Dossier supprimé: C:\Program Files\Ask.com
    0,Dossier supprimé: C:\Users\virginie\AppData\Local\AskToolbar
    0,Dossier supprimé: C:\Users\virginie\AppData\LocalLow\AskToolbar
    0,Dossier supprimé: C:\Users\virginie\AppData\Roaming\DesktopIcon
    3,Fichier supprimé: C:\Windows\Installer\1ac0310.msi

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\Prefs.js --
    Ligne supprimée: user_pref("extensions.asktb.cbid", "EV");
    Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&...
    Ligne supprimée: user_pref("extensions.asktb.fresh-install", false);
    Ligne supprimée: user_pref("extensions.asktb.l", "dis");
    Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1283351793609");
    Ligne supprimée: user_pref("extensions.asktb.locale", "fr_FR");
    Ligne supprimée: user_pref("extensions.asktb.nero.userName", "");
    Ligne supprimée: user_pref("extensions.asktb.o", "101917");
    Ligne supprimée: user_pref("extensions.asktb.options-lang", "fr");
    Ligne supprimée: user_pref("extensions.asktb.options-locale", "UK");
    Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
    Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");
    Ligne supprimée: user_pref("extensions.asktb.r", "2");
    Ligne supprimée: user_pref("extensions.enabledItems", "toolbar@ask.com:3.5.2.106,illimitux@illimitux.net:3.2,{636fae0...
    -- Fichier Fermé --

    1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    0,Clé supprimée: HKCU\Software\Ask.com
    0,Clé supprimée: HKCU\Software\AskSearchAsst
    0,Clé supprimée: HKCU\Software\AskToolbar
    0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
    0,Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
    3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
    0,Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar (Error code: 1)

    0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.0.19 (fr)] **

    -- C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\Prefs.js --
    browser.download.dir, C:\\Users\\virginie\\Desktop
    browser.download.lastDir, C:\\Users\\virginie\\Pictures
    browser.startup.homepage, hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    browser.startup.homepage_override.mstone, rv:1.9.0.19
    keyword.URL, hxxp://search.freecause.com/search?fr=freecause&ourmark=3&type=61101&p=

    -- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\bc95t27t.default\Prefs.js --
    browser.download.dir, C:\\Users\\Invité\\Downloads
    browser.download.lastDir, C:\\Users\\Invité\\Downloads
    browser.startup.homepage_override.mstone, rv:1.9.0.19

    ========================================

    ** Internet Explorer Version [7.0.6001.18000] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 132 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 02/09/2010 (7091 Octet(s))

    Fin à: 12:40:06, 02/09/2010

    ============== E.O.F ==============
    0
  16. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour à tous,

    il est gonfle ce Kali...(sourire) 
    Attention, je n'ai pas beaucoup d'humour ;)

    ******************************

    @powersky12

    1. Relance OTL
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * L'interface principale s'ouvre :
    * Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    :OTL
    PRC - C:\Windows\Ugofed.exe (OpenSC Project) 
    SRV - (Norton Internet Security) -- C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe File not found     
    SRV - (ekrn) -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe File not found     
    DRV - (SRTSPX) -- C:\Windows\System32\drivers\NIS\1000000.07D\SRTSPX.SYS File not found 
    DRV - (SRTSP) -- C:\Windows\System32\drivers\NIS\1000000.07D\SRTSP.SYS File not found 
    DRV - (NAVEX15) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS File not found     
    DRV - (NAVENG) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS File not found      
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://ww12.cherche.us 
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://ww12.cherche.us 
    [2010/06/26 19:10:29 | 000,000,000 | ---D | M] -- C:\Users\virginie\AppData\Roaming\mozilla\Firefox\Profiles\6o285eeo.default\extensions\toolbar@ask.com     
    [2009/07/28 15:21:48 | 000,001,681 | ---- | M] () -- C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\ask.uk.xml 
    [2009/12/25 20:18:16 | 000,001,584 | ---- | M] () -- C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\cherche.xml 
    [2010/06/16 19:07:16 | 000,001,734 | ---- | M] () -- C:\Users\virginie\AppData\Roaming\Mozilla\FireFox\Profiles\6o285eeo.default\searchplugins\search-the-web.xml 
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
    O2 - BHO: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)     
    O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.     
    O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)     
    O3 - HKCU\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com)     
    O4 - HKCU\..\Run: [20W6RLKX65] C:\Users\virginie\AppData\Local\Temp\Ud2.exe (OpenSC Project) 
    O13 - gopher Prefix: missing 
    O15 - HKCU\..Trusted Domains: chat-land.org ([]* in Trusted sites) 
    O15 - HKCU\..Trusted Domains: localhost ([]http in Local intranet) 
    O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet) 
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 
    O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) 
    
    :Files
    C:\Windows\Ugofed.exe 
    C:\Windows\Ugofec.exe 
    C:\Windows\Ugofeb.exe 
    C:\Windows\Ugofea.exe 
    C:\Users\virginie\AppData\Roaming\1140B91353666268D1FAE08BFB601DEA
    
    :Commands 
    [emptyflash]
    [emptytemp]

    * Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.
    * Accepte en cliquant sur OK
    * Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
    * Copie/colle le dans ton prochain message

    Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)

    2. Télécharge et enregistre List_Kill'em (de gen-hackman) sur le Bureau.

    !! Important => Désactive ton antivirus !!

    * Lance l'installation
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    * Fait l'installation par défaut en cliquant à chaque fois sur suivant
    * Clique enfin sur "Terminer" et le programme va se lancer
    * Choisis l'option "Search"
    * Patiente pendant le travail de l'outil qui peut prendre plusieurs minutes
    * A l'apparition d'une fenêtre blanche, même si c'est long, c'est normal, le programme n'est pas bloqué.
    * Un rapport "catchme" apparait sur le bureau, ignore-le, il disparaitra en fin de scan
    * Le rapport s'ouvre spontanément après 100 % du scan à l'ecran "COMPLETED"
    * Héberge le rapport sur http://www.cijoint.fr

    A +
    0