PC infecté par windows sécurity suite Résolu/Fermé

Question

Bonjour, 

voila, j'ai attrapé un virus nommé: windows sécurity suite, ce dernier me bloque l'accès à toutes les "applications.exe", avec un tas d'alertent qui s'affichent, des fenetres publicitaires etc...
Il m'est impossible de lancer Internet, ni mon antivirus, aucun jeu... 
En clair, je ne peux quasi plus rien faire sur mon ordinateur.
J'écris depuis un autre ordinateur.
J'ai vu plusieurs topics sur le forum parlant de se virus, mais apparemment la démarche à suivre est spécifique à chaque ordinateur, donc je n'entreprends rien pour le moment.

PC sous windows XP pro

Merci d'avance de l'attention portée à ce message, en espérant que quelqu'un puisse m'aider.

moment de grace · Answer

bonjour

essaie ainsi pour l'instant

redémarrer le pc en mode sans échec avec prise en charge reseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 


une fois qu'il aura terminé 


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. 
Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. [b]Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection 
Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Alexis.K · Answer

Tout d'abord merci de ta réponse,
j'ai un petit souci, meme apres avoir redémarré l'ordinateur en mode sans echec avec prise en charge réseau, je n'arrive pas à me connecter à internet...
Donc je ne peux rien faire de tout ce que tu m'as conseillé.
Une solution ?

Alexis.K · Answer

j'aurais une autre question liée à tout ces soucis:
est ce qu'en mode sans échec, si je branche un disque dur externe, il risque d'être infecté ?

moment de grace · Answer

ok 

ne branche rien pour l'instant

à partir du pc sain 

Télécharge ComboFix de sUBs  sur ton Bureau :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

renomme le ALEX.exe 

puis à l'aide de l'usb tu le copies sur le bureau du pc malade 

apres en mode normal 

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\  

---> Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets provisoirement internet) 

---> Mets-le en langue française F  
Tape sur la touche 1 (Yes) pour démarrer le scan.  

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

Note : Le rapport se trouve également là : C:\ComboFix.txt

Alexis.K · Answer

J'ai suivi toutes tes instructions, malheuresement, apres m'etre déconnecté de internet, d'avoir quitter toutes mes sécurités, je n'arrive pas à lancer Combofix.exe que j'ai appelé ALEX.exe
je ne peux donc pas continuer les opérations...

moment de grace · Answer

bon

essaie ca


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

Alexis.K · Answer

j'ai du redémarrer mon ordinateur à cause d'un bug, et maintenant j'ai un message qui s'affiche au lancement de mon ordinateur:
"Erreur de chargement de C:\WINDOWS\$NtUninstallMTF1011$\mmduch.dll
le module spécifié est introuvable."
Un rapport avec le virus ?

moment de grace · Answer

c'est dû aux infections


il faut réussir combofix

retélécharge combofix comme indiqué précédement

renommes le

ensuite

* Télécharge OTH (de OldTimer) sur ton Bureau 

http://oldtimer.geekstogo.com/OTH.scr 
http://oldtimer.geekstogo.com/OTH.com 

puis à l'aide de l'usb copie combo et oht sur le bureau du pc malade

apres



* Lance OTH et clique sur "Kill All Processes" (tout devrait disparaitre de ton écran à part OTH) 
* Ensuite, clique sur "Start Misc Program" et lance combofix renommé

Alexis.K · Answer

Oki je vais telecharger OTH et combofix, mais la je suis entrin de faire la procédure que tu m'as indiqué un peu plus haut avec List_Kill'em, dois-je laisser tomber ?

Alexis.K · Answer

Voici les liens que j'ai obtenu avec List_Kill'em:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijUx29yPF.txt 

http://www.cijoint.fr/cjlink.php?file=cj201009/cijWOCChR8.txt

maintenant je vais faire ce que tu m'as demander de faire avec OTH et combofix

Alexis.K · Answer

Bon et bien pas de bonnes nouvelles, combofix ne fonctionne toujours pas...

moment de grace · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis le bouton TOOLS
puis le bouton KILLPROXY

poste le rapport généré

.............

ensuite

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

Alexis.K · Answer

analyse en cours, je posterais le rapport dès que possible.

Alexis.K · Answer

voila donc le rapport que je colle dans ma réponse, comme demandé plus haut: ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.3 ¤¤¤¤¤¤¤¤¤¤ User : keuleyan () Update on 03/09/2010 by g3n-h@ckm@n ::::: 14.30 Start at: 18:21:34 | 04/09/2010 Intel(R) Pentium(R) 4 CPU 3.06GHz Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 8.0.6001.18702 Windows Firewall Status : Enabled AV : Spyware Doctor with AntiVirus [ (!) Disabled | Updated ] AV : Microsoft Security Essentials 2.1.6805.0 [ (!) Disabled | Updated ] C:\ -> Disque fixe local | 213,76 Go (75,84 Go free) | NTFS D:\ -> Disque amovible E:\ -> Disque amovible F:\ -> Disque amovible G:\ -> Disque amovible H:\ -> Disque fixe local | 13,67 Go (1,92 Go free) | NTFS I:\ -> Disque CD-ROM J:\ -> Disque amovible | 245,98 Mo (241,72 Mo free) [NÉNOUCHE] | FAT32 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko) C:\WINDOWS\System32\smss.exe ----400 Ko C:\WINDOWS\system32\csrss.exe ----3524 Ko C:\WINDOWS\system32\winlogon.exe ----2272 Ko C:\WINDOWS\system32\services.exe ----4096 Ko C:\WINDOWS\system32\lsass.exe ----5812 Ko C:\WINDOWS\system32\svchost.exe ----3944 Ko C:\WINDOWS\system32\svchost.exe ----4644 Ko c:\Program Files\Microsoft Security Essentials\MsMpEng.exe ----60632 Ko C:\WINDOWS\system32\svchost.exe ----15240 Ko C:\WINDOWS\Explorer.EXE ----18704 Ko C:\WINDOWS\system32\cmd.exe ----3400 Ko C:\WINDOWS\system32\wbem\wmiprvse.exe ----7176 Ko C:\Program Files\List_Kill'em\ERUNT.EXE ----3564 Ko C:\Program Files\List_Kill'em\pv.exe ----3512 Ko ¤¤¤¤¤¤¤¤¤¤ Files/folders : Quarantined & Deleted !! : C:\WINDOWS\002977_.tmp Quarantined & Deleted !! : C:\WINDOWS\SET29.tmp Quarantined & Deleted !! : C:\WINDOWS\SET2A.tmp Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp Quarantined & Deleted !! : C:\WINDOWS\Temp\DFC5A2B2.TMP Quarantined & Deleted !! : C:\WINDOWS\Temp\scs6.tmp Quarantined & Deleted !! : C:\WINDOWS\Temp\scs7.tmp Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\Application Data\Sky-Banners Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\Local Settings\Temp\1DD.tmp Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\Local Settings\Temp\1DF.tmp Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\Local Settings\Temp\5.tmp Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\AMPing.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\InstallManager_BAB_BAB.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\psmyxp.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\sp26721.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\sp26752.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\sp26769.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\sp26822.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\sp26829.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\sp34919.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\sp35039.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\st_witty820_1930.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\sxcfgslr.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\wphxklu.exe Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\jna2195052791787728033.dll Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\jna3033813475302709124.dll Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\jna6917854147980485006.dll Quarantined & Deleted !! : C:\Documents and Settings\keuleyan\LOCAL Settings\Temp\jna797117784762812819.dll ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤ 127.0.0.1 localhost ¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤ Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383} Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe" Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe" Deleted : HKCR\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} Deleted : HKCU\SOFTWARE\Sky-Banners Deleted : HKLM\SOFTWARE\Sky-Banners ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤ [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] Start Page = https://www.msn.com/fr-fr/?ocid=iehp Local Page = C:\WINDOWS\system32\blank.htm Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] Start Page = https://www.google.com/?gws_rd=ssl Local Page = C:\WINDOWS\system32\blank.htm Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch ¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] FirstRunDisabled = 1 () AntiVirusDisableNotify = 0 (0x0) FirewallDisableNotify = 0 (0x0) UpdatesDisableNotify = 0 (0x0) AntiVirusOverride = 0 (0x0) FirewallOverride = 0 (0x0) ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤ Ndisuio : Start = 3 EapHost : Start = 2 Ip6Fw : Start = 2 SharedAccess : Start = 2 wuauserv : Start = 2 wscsvc : Start = 2 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Disk Cleaned anti-ver blaster : OK Prefetch cleaned ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ FEATURE_BROWSER_EMULATION | svchost : ==================================== Deleted : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main\featurecontrol\FEATURE_BROWSER_EMULATION : svchost.exe Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86553EC5]<< kernel: MBR read successfully user & kernel MBR OK ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Voila maintenant je vais te remercier, et te laisser passer une soirée tranquille. J'en ai besoin aussi, donc merci beaucoup de t'être décarcassé pour moi aujourd'hui, j'espere que demain nous en viendront à bout. Bonne soirée

moment de grace · Answer

ok

pour demain donc

essaie à nouveau combofix en mode sans echecprecedé de rkill

Alexis.K · Answer

Bonjour,
il m'est toujours impossible d'acceder à combofix.
J'ai pu lire par ailleur sur le forum Malekal, https://forum.malekal.com/viewtopic.php?t=5472&start=
qu'à la place de combofix, on pouvait utiliser Malwares bytes Antimalwares, que penses tu ?
Je peux me lancer et essayer ?
Sinon pour ce qui est de Rkill en mode sans echec, il ne m'affiche pas grand chose, le rapport était bien plus complet lorsque je l'avais lancé en mode normal.
Le rapport de Rkill en mode sans echec:
This log file is located at C:\rkill.log
Pleas post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as keuleyan on 05/09/2010 at 11:12:32

processed terminated by rkill or while it was running:

C:\Documents and settings\keuleyan\bureau\Alex.exe
C:\Documents and settings\keuleyan\bureau\rKill.com

Rkill completed on 05/09/2010 at 11:12:40

moment de grace · Answer

ok

en normal

rkill puis mbam

Alexis.K · Answer

En faite j'ai relu le premier message que tu m'as envoyé, il donne la description de l'utilisation de mbam, il faut proceder à des mises à jour, mais je n'arrive pas du tout à me connecter à internet, meme en mode sans echec avec prise en charge du reseau...
Les maj sont elles obligatoires ?

moment de grace · Answer

ok

essaies de faire ZHPdiag comme expliqué ici  https://forums.commentcamarche.net/forum/affich-19080986-pc-infecte-par-windows-security-suite#36

Alexis.K · Answer

est ce que pour pouvoir lancer ZHPdiag, je peux lancer Rkill afin qu'il neutralise le virus, et que je puisse lancer sans souci ZHPdiag ?

moment de grace · Answer

* Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


O4 - HKLM\..\Run: [polfpusg] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\hslweobgl\ciitnixshdw.exe     
O4 - HKLM\..\Run: [groqhsqr] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\dscvexbpn\cakgeodshdw.exe     
O4 - HKLM\..\Run: [khdvtlfu] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\ftfufrcku\chvphtbshdw.exe     
O4 - HKCU\..\Run: [polfpusg] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\hslweobgl\ciitnixshdw.exe     
O4 - HKCU\..\Run: [groqhsqr] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\dscvexbpn\cakgeodshdw.exe     
O4 - HKCU\..\Run: [khdvtlfu] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\ftfufrcku\chvphtbshdw.exe     
O4 - HKUS\S-1-5-21-789336058-57989841-682003330-1003\..\Run: [polfpusg] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\hslweobgl\ciitnixshdw.exe     
O4 - HKUS\S-1-5-21-789336058-57989841-682003330-1003\..\Run: [groqhsqr] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\dscvexbpn\cakgeodshdw.exe     
O4 - HKUS\S-1-5-21-789336058-57989841-682003330-1003\..\Run: [khdvtlfu] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\ftfufrcku\chvphtbshdw.exe     
[HKCU\Software\wnxmal]     
 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6092 
 O2 - BHO: (no name) - {46D6DF27-E7C1-4C53-85CB-C3336F849A17} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\xnsqehq.dll
 O4 - HKCU\..\Run: [Windows - Update] C:\Documents and Settings\keuleyan\Menu Démarrer\Programmes\Démarrage\winsrv32.exe (.not file.) 
 O4 - HKUS\S-1-5-21-789336058-57989841-682003330-1003\..\Run: [Windows - Update] C:\Documents and Settings\keuleyan\Menu Démarrer\Programmes\Démarrage\winsrv32.exe (.not file.) 
 O40 - ASIC: (no name) - {82KQZD-KETGBH-Y9B4AV-9NGMHA} . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\keuleyan\Menu Démarrer\Programmes\Démarrage\winsrv32.exe 
 O83 - Search Svchost Services: aoygjeke (aoygjeke) . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\xnsqehq.dll   

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.



Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

Copie/Colle le rapport à l'écran dans ton prochain message

( ce rapport est sauvegardé dans ce dossier  C:\Program files\ZHPDiag\ZHPFixReport.txt )

Alexis.K · Answer

Rapport de ZHPFix v1.12.3143 par Nicolas Coolman, Update du 01/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-09-2010-15-35-59.txt
Run by keuleyan at 05/09/2010 15:35:59
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\wnxmal  => Clé absente
O2 - BHO: (no name) - {46D6DF27-E7C1-4C53-85CB-C3336F849A17} . (.Pas de propriétaire - Pas de description.) -- c:\windows\system32\xnsqehq.dll  => Clé absente
O40 - ASIC: (no name) - {82KQZD-KETGBH-Y9B4AV-9NGMHA} . (.) -- C:\Documents and Settings\keuleyan\Menu Démarrer\Programmes\Démarrage\winsrv32.exe  => Clé absente
O83 - Search Svchost Services: aoygjeke (aoygjeke) . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\xnsqehq.dll  => Clé absente

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [polfpusg] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\hslweobgl\ciitnixshdw.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [groqhsqr] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\dscvexbpn\cakgeodshdw.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [khdvtlfu] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\ftfufrcku\chvphtbshdw.exe  => Valeur absente
O4 - HKCU\..\Run: [polfpusg] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\hslweobgl\ciitnixshdw.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [groqhsqr] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\dscvexbpn\cakgeodshdw.exe  => Valeur absente
O4 - HKCU\..\Run: [khdvtlfu] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\ftfufrcku\chvphtbshdw.exe  => Valeur absente
O4 - HKUS\S-1-5-21-789336058-57989841-682003330-1003\..\Run: [polfpusg] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\hslweobgl\ciitnixshdw.exe  => Valeur absente
O4 - HKUS\S-1-5-21-789336058-57989841-682003330-1003\..\Run: [groqhsqr] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\dscvexbpn\cakgeodshdw.exe  => Valeur absente
O4 - HKUS\S-1-5-21-789336058-57989841-682003330-1003\..\Run: [khdvtlfu] . (.Security Suites Corporation - Security Suite for Windows.) -- C:\Documents and Settings\keuleyan\Local Settings\Application Data\ftfufrcku\chvphtbshdw.exe  => Valeur absente
O4 - HKCU\..\Run: [Windows - Update] C:\Documents and Settings\keuleyan\Menu Démarrer\Programmes\Démarrage\winsrv32.exe (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-21-789336058-57989841-682003330-1003\..\Run: [Windows - Update] C:\Documents and Settings\keuleyan\Menu Démarrer\Programmes\Démarrage\winsrv32.exe (.not file.)  => Valeur absente

========== Elément(s) de donnée du Registre ==========
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:6092  => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\documents and settings\keuleyan\local settings\application data\hslweobgl\ciitnixshdw.exe  => Supprimé et mis en quarantaine
c:\documents and settings\keuleyan\local settings\application data\dscvexbpn\cakgeodshdw.exe  => Supprimé et mis en quarantaine
c:\documents and settings\keuleyan\local settings\application data\ftfufrcku\chvphtbshdw.exe  => Supprimé et mis en quarantaine
c:\windows\system32\xnsqehq.dll  => Supprimé et mis en quarantaine
c:\documents and settings\keuleyan\menu démarrer\programmes\démarrage\winsrv32.exe  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
4 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
5 : Fichier(s)


End of the scan

moment de grace · Answer

ok

supprimes combofix renommé

et on le refait normalement et en mode normal

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs  sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets provisoirement internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Alexis.K · Answer

ComboFix 10-09-04.06 - keuleyan 05/09/2010  15:58:39.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1022.584 [GMT 2:00]
Lancé depuis: c:\documents and settings\keuleyan\Bureau\ComboFix.exe
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
AV: Spyware Doctor with AntiVirus *On-access scanning disabled* (Updated) {D3C23B96-C9DC-477F-8EF1-69AF17A6EFF6}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\keuleyan\Application Data\Street-Ads
c:\windows\system32\drivers\xlqofvfc.sys
c:\windows\system32\scrrnfr.dll

Une copie infectée de c:\windows\system32\driversedbook.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p 
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-05 au 2010-09-05  ))))))))))))))))))))))))))))))))))))
.

2010-09-05 13:05 . 2010-09-05 13:35	--------	d-----w-	c:\program files\ZHPDiag
2010-09-05 09:33 . 2010-09-05 09:33	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\Malwarebytes
2010-09-05 09:33 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-05 09:33 . 2010-09-05 09:33	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-09-05 09:33 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-09-05 09:33 . 2010-09-05 09:33	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-09-04 13:17 . 2010-09-04 16:21	--------	d-----w-	C:\Kill'em
2010-09-04 13:17 . 2010-09-04 18:19	--------	d-----w-	c:\program files\List_Kill'em
2010-09-03 16:13 . 2010-09-04 12:51	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-09-03 15:27 . 2007-10-17 22:16	29000	----a-w-	c:\windows\system32\drivers\kcom.sys
2010-09-03 15:27 . 2007-10-17 22:14	41288	----a-w-	c:\windows\system32\drivers\ikfilesec.sys
2010-09-03 15:27 . 2010-09-03 16:08	56832	----a-w-	c:\windows\system32\drivers\iksysflt.sys
2010-09-03 15:27 . 2010-09-03 16:08	74240	----a-w-	c:\windows\system32\drivers\iksyssec.sys
2010-09-03 15:26 . 2010-09-04 08:30	--------	d-----w-	c:\program files\Spyware Doctor
2010-09-03 15:26 . 2010-09-03 15:26	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\PC Tools
2010-09-03 15:26 . 2005-09-23 06:29	626688	----a-w-	c:\windows\system32\msvcr80.dll
2010-09-03 15:21 . 2010-09-03 15:21	--------	d-sh--w-	c:\documents and settings\keuleyan\IECompatCache
2010-09-03 12:34 . 2010-09-03 12:34	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
2010-09-02 22:55 . 2010-09-02 22:55	--------	d--h--w-	c:\windows\system32\GroupPolicy
2010-09-02 22:36 . 2010-09-03 15:50	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-09-02 22:36 . 2010-09-03 15:11	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-09-02 19:31 . 2010-09-02 19:31	--------	d-sh--w-	c:\documents and settings\keuleyan\PrivacIE
2010-09-02 19:29 . 2010-09-05 13:34	--------	d-----w-	c:\documents and settings\keuleyan\Local Settings\Application Data\ftfufrcku
2010-09-02 19:29 . 2010-09-05 13:34	--------	d-----w-	c:\documents and settings\keuleyan\Local Settings\Application Data\dscvexbpn
2010-09-02 19:29 . 2010-09-05 13:34	--------	d-----w-	c:\documents and settings\keuleyan\Local Settings\Application Data\hslweobgl
2010-09-02 19:27 . 2010-09-02 19:27	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2010-09-02 19:12 . 2010-09-02 19:12	--------	d-----w-	c:\windows\Sun
2010-08-28 22:46 . 2010-08-28 22:46	--------	d-----w-	c:\program files\Free iPod Video Converter
2010-08-19 13:48 . 2010-09-02 09:18	--------	d-----w-	c:\program files\JDownloader
2010-08-19 13:13 . 2010-08-19 13:13	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\widestream
2010-08-19 13:13 . 2010-08-19 13:29	--------	d-----w-	c:\documents and settings\keuleyan\Local Settings\Application Data\widestream6 Air
2010-08-19 13:12 . 2010-09-02 14:32	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\OfferBox
2010-08-17 11:40 . 2010-06-01 17:37	221568	------w-	c:\windows\system32\MpSigStub.exe
2010-08-17 11:31 . 2010-08-17 11:32	--------	d-----w-	c:\program files\Microsoft Security Essentials

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-05 14:14 . 2010-07-22 17:16	--------	d-----w-	c:\program files\Steam
2010-09-05 09:01 . 2004-08-05 10:00	80508	----a-w-	c:\windows\system32\perfc00C.dat
2010-09-05 09:01 . 2004-08-05 10:00	500482	----a-w-	c:\windows\system32\perfh00C.dat
2010-09-01 08:46 . 2010-07-13 10:15	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\dvdcss
2010-08-19 12:27 . 2010-07-29 10:05	--------	d-----w-	c:\program files\LimeWire
2010-08-17 12:29 . 2010-07-13 13:56	--------	d-----w-	c:\documents and settings\All Users\Application Data\Microsoft Help
2010-07-28 09:20 . 2010-06-24 14:07	--------	d-----w-	c:\program files\Google
2010-07-27 22:36 . 2010-06-22 15:27	--------	d-----w-	c:\program files\ma-config.com
2010-07-27 22:36 . 2010-06-22 15:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-07-23 09:29 . 2010-07-23 09:29	6064	----a-w-	c:\windows\system32\d3d9caps.dat
2010-07-22 17:22 . 2010-07-22 09:30	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\Apple Computer
2010-07-22 16:06 . 2010-07-22 16:07	411368	----a-w-	c:\windows\system32\deploytk.dll
2010-07-22 16:06 . 2010-07-22 16:06	--------	d-----w-	c:\program files\Java
2010-07-22 15:19 . 2010-07-13 10:15	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\vlc
2010-07-22 10:11 . 2010-07-22 09:25	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple
2010-07-22 09:56 . 2010-06-22 15:20	69240	----a-w-	c:\documents and settings\keuleyan\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-07-22 09:30 . 2010-07-22 09:28	--------	d-----w-	c:\program files\iTunes
2010-07-22 09:30 . 2010-07-22 09:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-22 09:29 . 2010-07-22 09:29	--------	d-----w-	c:\program files\iPod
2010-07-22 09:29 . 2010-07-22 09:25	--------	d-----w-	c:\program files\Fichiers communs\Apple
2010-07-22 09:28 . 2010-07-22 09:27	--------	d-----w-	c:\documents and settings\All Users\Application Data\Apple Computer
2010-07-22 09:28 . 2010-07-22 09:27	--------	d-----w-	c:\program files\QuickTime
2010-07-22 09:26 . 2010-07-22 09:26	--------	d-----w-	c:\program files\Apple Software Update
2010-07-22 09:25 . 2010-07-22 09:25	--------	d-----w-	c:\program files\Bonjour
2010-07-21 22:09 . 2010-07-13 14:04	--------	d-----w-	c:\program files\Microsoft Works
2010-07-13 14:03 . 2010-06-25 13:08	--------	d-----w-	c:\program files\MSBuild
2010-07-13 14:01 . 2010-07-13 14:01	--------	d-----w-	c:\program files\Microsoft.NET
2010-07-13 13:59 . 2010-07-13 13:59	--------	d-----w-	c:\program files\Microsoft Visual Studio 8
2010-07-12 19:33 . 2010-07-12 19:33	--------	d-----w-	c:\program files\Microsoft
2010-07-12 19:33 . 2010-07-12 19:33	--------	d-----w-	c:\program files\Windows Live
2010-07-12 19:33 . 2010-07-12 19:33	--------	d-----w-	c:\program files\Windows Live SkyDrive
2010-07-12 19:29 . 2010-07-12 19:29	--------	d-----w-	c:\program files\Fichiers communs\Windows Live
2010-07-12 19:27 . 2010-07-12 19:27	--------	d-----w-	c:\program files\VideoLAN
2010-07-07 15:29 . 2010-07-07 15:29	--------	d-----w-	c:\program files\ASUSTeK
2010-07-07 15:29 . 2010-06-22 15:05	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-07-07 15:21 . 2010-07-07 15:20	--------	d-----w-	c:\program files\Ahead
2010-07-07 15:21 . 2010-07-07 15:21	--------	d-----w-	c:\program files\Fichiers communs\Nero
2010-07-07 15:20 . 2010-07-07 15:20	--------	d-----w-	c:\documents and settings\All Users\Application Data\Ahead
2010-07-07 15:20 . 2010-07-07 15:20	--------	d-----w-	c:\program files\Fichiers communs\Ahead
2010-07-07 15:12 . 2003-05-06 16:04	342048	----a-w-	c:\windows\system32\drivers\Cap7134.sys
2010-07-07 15:08 . 2010-07-07 15:08	--------	d-----w-	c:\program files\Realtek
2010-07-07 15:03 . 2010-07-07 15:03	--------	d-----w-	c:\program files\Realtek AC97
2010-07-07 14:30 . 2010-07-07 14:30	138752	----a-w-	c:\windows\system32\drivers\hdaudbus.sys
2010-07-07 14:25 . 2010-07-07 14:25	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\DeviceDoctorSoftware
2010-07-07 14:20 . 2010-07-07 14:17	--------	d-----w-	c:\documents and settings\All Users\Application Data\Atheros
2010-07-07 14:20 . 2010-07-07 14:20	--------	d-----w-	c:\program files\Atheros
2010-07-07 14:19 . 2010-06-23 16:15	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\Intel
2010-07-07 14:19 . 2010-06-23 16:14	--------	d-----w-	c:\documents and settings\All Users\Application Data\Intel
2010-07-07 14:19 . 2010-06-22 15:58	--------	d-----w-	c:\program files\Intel
2010-07-07 14:17 . 2010-07-07 14:17	--------	d-----w-	c:\documents and settings\keuleyan\Application Data\InstallShield
2010-06-30 12:32 . 2004-08-05 10:00	149504	----a-w-	c:\windows\system32\schannel.dll
2010-06-24 12:25 . 2006-03-04 03:35	916480	----a-w-	c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-05 10:00	1852032	----a-w-	c:\windows\system32\win32k.sys
2010-06-23 14:13 . 2010-06-23 14:13	0	----a-w-	c:\windows\ativpsrm.bin
2010-06-22 14:07 . 2010-06-22 14:07	21892	----a-w-	c:\windows\system32\emptyregdb.dat
2010-06-21 15:27 . 2004-08-05 10:00	354304	----a-w-	c:\windows\system32\drivers\srv.sys
2010-06-17 14:03 . 2004-08-05 10:00	80384	----a-w-	c:\windows\system32\iccvid.dll
2010-06-14 07:42 . 2004-08-05 10:00	1172480	----a-w-	c:\windows\system32\msxml3.dll
2010-06-08 15:16 . 2010-07-07 14:21	84584	----a-w-	c:\windows\SOUNDMAN.EXE
2010-06-08 15:16 . 2010-07-07 15:08	1489512	----a-w-	c:\windows\RtlUpd.exe
2010-06-08 15:16 . 2010-07-07 15:08	9721960	----a-w-	c:\windows\RTLCPL.EXE
2010-06-08 15:16 . 2010-07-07 15:08	6056040	----a-w-	c:\windows\system32\drivers\RtkHDAud.sys
2010-06-08 15:16 . 2010-07-07 15:08	19552872	----a-w-	c:\windows\RTHDCPL.EXE
2010-06-08 15:16 . 2010-07-07 15:08	2180712	----a-w-	c:\windows\MicCal.exe
2010-06-08 15:16 . 2010-07-07 15:08	64104	----a-w-	c:\windows\ALCMTR.EXE
2010-06-08 15:16 . 2010-07-07 15:08	2815592	----a-w-	c:\windows\ALCWZRD.EXE
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\keuleyan\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-07-07 136176]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"Steam"="c:\program files\steam\steam.exe" [2010-08-24 1242448]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-01-26 2144088]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"RTHDCPL"="RTHDCPL.EXE" [2010-06-08 19552872]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\program files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-16 141608]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Microsoft Office\Office12\GROOVE.EXE"=
"c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Java\jre6\bin\javaw.exe"=
"c:\Program Files\Steam\SteamApps\ptizizi\counter-strike source\hl2.exe"=

R3 PhTVTune;Philips WDM TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [07/07/2010 17:16 14624]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;\??\c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt --> c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [?]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\svcntaux.exe [03/09/2010 17:27 311112]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [22/06/2010 16:39 217088]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
aoygjeke
.
Contenu du dossier 'Tâches planifiées'

2010-08-19 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2010-08-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-789336058-57989841-682003330-1003Core.job
- c:\documents and settings\keuleyan\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-07-12 14:15]

2010-09-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-789336058-57989841-682003330-1003UA.job
- c:\documents and settings\keuleyan\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-07-12 14:15]

2010-09-05 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = <local>
uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-bipro - c:\windows\$NtUninstallMTF1011$\mmduch.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-05 16:10
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\c:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\]*'|@f9]
"DisplayName"="?\11???"
"DeviceDesc"="?\11???"
"ProviderName"=""
"MFG"="????¥"
"ReinstallString"="c:\WINDOWS\System32\ReinstallBackups\]???\DriverFiles\.INF"
"DeviceInstanceIds"=multi:"\0c\00"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\]*'|8¤?]
"DisplayName"="?\11???"
"DeviceDesc"="?\11???"
"ProviderName"=""
"MFG"="????¥"
"ReinstallString"="c:\WINDOWS\System32\ReinstallBackups\]???\DriverFiles\.INF"
"DeviceInstanceIds"=multi:"\0c\00"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(824)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2956)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Microsoft Security Essentials\MsMpEng.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2010-09-05  16:24:17 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-09-05 14:24

Avant-CF: 81 271 717 888 octets libres
Après-CF: 81 854 283 776 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 734342F087777584ED016A4843908336

moment de grace · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Alexis.K, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::



Folder::

c:\documents and settings\keuleyan\PrivacIE  
c:\documents and settings\keuleyan\Local Settings\Application Data\ftfufrcku  
c:\documents and settings\keuleyan\Local Settings\Application Data\dscvexbpn  
c:\documents and settings\keuleyan\Local Settings\Application Data\hslweobgl


DDS::
uInternet Settings,ProxyOverride = <local>  
uInternet Settings,ProxyServer = hxxp://127.0.0.1:8080


NetSvc::

Aoygjeke



* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

Alexis.K · Answer

j'ai posté le rapport mais je ne le vois pas, peut etre est il trop gros pour le forum ? Dois je passer par le cijoint.com ?

Alexis.K · Answer

Voici le lien:
http://www.cijoint.fr/cjlink.php?file=cj201009/cijoDqX3RJ.txt


Au passage, bonne nouvelle, j'ai internet sur le PC infecté, signe que le virus commence à faiblir !

moment de grace · Answer

c'est qu'on devient bon....

(sourire)

allez pour finir je pense la partie désinfection

mets à jour MBAM (cette fois ci)
examen complet
supprimer ce qu'il trouve
poster le rapport

Alexis.K · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4550

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/09/2010 19:52:31
mbam-log-2010-09-05 (19-52-31).txt

Type d'examen: Examen complet (C:\|H:\|J:\|K:\|)
Elément(s) analysé(s): 241129
Temps écoulé: 1 heure(s), 22 minute(s), 3 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Kill'em\Quarantine\1DD.tmp.Kill'em (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Kill'em\Quarantine\1DF.tmp.Kill'em (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Kill'em\Quarantine\st_witty820_1930.exe.Kill'em (Adware.BHO) -> Quarantined and deleted successfully.
C:\Kill'em\Quarantine\sxcfgslr.exe.Kill'em (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\Kill'em\Quarantine\wphxklu.exe.Kill'em (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0B9C9EA6-3ACC-4F0D-8B24-E82B8EEF94D9}\RP3\A0008271.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0B9C9EA6-3ACC-4F0D-8B24-E82B8EEF94D9}\RP3\A0008272.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0B9C9EA6-3ACC-4F0D-8B24-E82B8EEF94D9}\RP3\A0008273.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

moment de grace · Answer

ok

la quarantaine de killem et la restauration systeme

pas de soucis, tu peux vider la quarantaine

comment va ce pc maintenant ?

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

Alexis.K · Answer

Je vais me permettre de te demander comment vide t'on la quarantaine de Killem stp ?
Voici pour le nouveau rapport:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijhJR1BUE.txt

A priori le PC va mieu oui !

moment de grace · Answer

je parlais de vider la quarantaine de MBAM

on termine 


1)
Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

..........................

2)

Mettre à jour la Console Java ? : 
https://www.java.com/fr/download/uninstalltool.jsp

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 
http://raproducts.org/click/click.php?id=1

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 


.............

3)

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez

....................

4)
IMPORTANT

Purger la restauration systeme XP

http://www.bibou0007.com/windows-xp-f101/purger-la-restauration-du-systeme-sous-windows-xp-t151.htm


.................

5)
Clique droit sur l'icône ZHPFix.exe sur ton Bureau, 
puis sélectionne 'Exécuter en tant qu'administrateur'. 

Clique sur le A rouge (Nettoyeur de Tools). 

Clique sur Nettoyer. 

Fais redémarrer l'ordi pour terminer le nettoyage.

ps: tu peux également supprimer spybot et spyware doctor

.....................................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

Alexis.K · Answer

voici le rapport ZHPfix de la premiere étape:

Rapport de ZHPFix v1.12.3143 par Nicolas Coolman, Update du 01/09/2010
Fichier d'export Registre : 
Run by keuleyan at 06/09/2010 19:19:51
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente


========== Récapitulatif ==========
2 : Valeur(s) du Registre


End of the scan


par contre je m'arrete à l'étape 2, je n'arrive pas à faire la mise à jour via jucheke.exe, ni par la page internet, la page internet ne s'affiche pas, je n'ai donc pas poursuivi les autres étapes, ne voulant pas prendre d'initiative.

moment de grace · Answer

ok

desinstalle l'ancienne version par ajout supprimme programme

et installe la dernière ensuite  https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/

Alexis.K · Answer

voici le rapport Java:


JavaRa 1.16 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Mon Sep 06 20:02:16 2010

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

------------------------------------

Finished reporting.

moment de grace · Answer

ok

pour le reste des manips , tu peux te passer de moi je suppose

sauf soucis => résolu

bonne continuation

Alexis.K · Answer

Bon et bien un grand merci à toi, tu as fait preuve de patience et perseverance.
Vraiment merci beaucoup, la chose était plutot coriace ^^
Bonne continuation à toi également, et excuse moi, mais j'espere ne plus avoir à faire à toi :p
Merci encore et bravo !

Alexis.K · Answer

Bonjour, 
bon finalement je reprends contact, mon ordinateur est vraiment très très lent, est ce que tu sais si cela est du au fait que j'ai été infecté ?

moment de grace · Answer

bonjour

peux pas dire comme ca

Télécharge ZHPDiag ( de Nicolas coolman ). 
ftp://zebulon.fr/ZHPDiag.exe

(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

Alexis.K · Answer

et voici le lien:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijhdzHiWO.txt

moment de grace · Answer

le zhp est propre

* Télécharge Defogger 
http://www.jpshortstuff.247fixes.com/Defogger.exe

 => lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé


ensuite



/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Alexis.K · Answer

bon bah écoute, apparemment mon ordinateur va mieux....
De plus le logiciel: Gmer fait planter mon ordinateur donc bon, voila merci encore d'avoir répondu à mes attentes.

moment de grace · Answer

si tu veux jouer les prolongations, fais GMER en mode sans échec

sinon



bonne continuation à toi

Alexis.K · Answer

bon et bien j'ai reessayé de lancer GMER, mais scan impossible, il fait planter mon pc, meme en mode sans echec...

moment de grace · Answer

grrrr

éventuellement faire un scan en ligne

Eset (Nod32) en ligne 
https://www.eset.com/ 


bitdefender en ligne : 
http://www.bitdefender.fr/scan_fr/scan8/ie.html 

Panda en ligne : 
http://pandasoftware.fr

Alexis.K · Answer

Aucune infection détectée.

J'ai, il y a 2 mois environ, eu un microprocesseur qui ma laché. Je l'ai ammené en réparation, c'est ce qu'on ma dit.
Je pense que les microprocesseurs qui sont dans la tour sortent du même lot de fabrication, est ce possible que ce soit le 2eme qui m'ai laché ?

Alexis.K · Answer

Oki oki, bon bien merci pour tout, cette fois je te laisse tranquille.
Merci, bonne continuation à toi.

JP · Answer

Redémarrer le PC en mode sans échec (f8)
Faire une restauration du système

ANTUCA · Answer

j ai pas de reponse...je suis infecte moi meme....a l aide s v p...merci  ANTUCA xx