Je suis infesté par Trojan horse generic

Résolu/Fermé
marinecat - 18 sept. 2010 à 12:57
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 9 oct. 2010 à 17:40
Bonjour,

Depuis quelques jours je suis infesté par Trojan horse generic 19.NSG.
malgré AVG anti-virus free, spybot search... et CCleaner, j'ai beau scanner et supprimer, rien à faire , ça revient toujours. Qui peut m'aider ?

Merci d'avance

A voir également:

94 réponses

kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
18 sept. 2010 à 13:36
Bonjour et Bienvenue sur CCM

Quel est le nom du fichier détecté par AVG et dans quel répertoire se trouve t-il ?
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.

Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

* Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* L'interface principale s'ouvre :
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

netsvcs  
msconfig  
safebootminimal  
safebootnetwork  
activex  
drivers32  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%APPDATA%\*.exe /s  
%SYSTEMDRIVE%\*.exe  
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\Tasks\*.job /lockedfiles  
%systemroot%\system32\drivers\*.sys /lockedfiles  
CREATERESTOREPOINT 

* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
* Ne les poste pas sur le forum, ils seraient trop long
* Héberge les sur http://www.cijoint.fr/
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.


A +
1
bjr
essai the cleaner........pas c cleaner
0
Merci Kalimusic voici les liens

http://www.cijoint.fr/cjlink.php?file=cj201009/cijNqkZCi4.txt

http://www.cijoint.fr/cjlink.php?file=cj201009/cijpdWspeQ.txt

les fichiers infestés sont
c:users\phil\Appdata\local\microsoft\windows\temporary ...\contentIE5 68GSHPV4

c:\users\phil\Appdata\local\temp\775.exe

tous de type trojan horse generic19 NSG




ou generic2_c.BYZT
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
18 sept. 2010 à 23:36
marinecat,

On va s'occuper de ton pc.

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.

Afin de permettre aux outils de désinfection de travailler correctement :
Désactive l'UAC

Désinstalle Spybot S&D, logiciel dépassé et qui risque de gêner le désinfection :

1. Désactive le module Tea Timer
2. Dé-vaccine
3. Désinstalle

****************************************************************

Tu as installé ou accepté d'installer avec des logiciels des barres d'outils néfastes ou douteuses.
Les toolbars c'est pas obligatoire!

Si possible, désinstalle :

Ask Toolbar     
pdfforge Toolbar v1.1.1     
Softonic_France Toolbar     

Télécharge AD-Remover (C_XX) sur le bureau

Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil

* Lance Ad-R
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur "Oui" dans la boite de dialogue
* Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui"
* Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin.
* Clique sur Quitter

Copie/colle le rapport dans ton prochain message.

Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus


****************************************************************
Autre infection par support amovibles

Télécharge et installe UsbFix (par C_XX & El Desaparecido) sur le Bureau
! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!
* lance UsbFix
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur le bouton "Recherche"
* Patiente le temps du balayage qui peut durer plusieurs minutes
* Le rapport doit s'ouvrir spontanément à la fin du scan
* Copie/colle le rapport dans le prochain message

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Bonjour
Je suis en cours de traitement
voici déjà le rapport Ad-Report-clean

http://www.cijoint.fr/cjlink.php?file=cj201009/cij8MHqUs4.txt

Je suis infecté également par privateCam.exe

depuis 20 minutes j'ai un pavé sur mon écran qui me demande un disk dans le drive, j'ai beau cliker sur cancel, try again ou continue, rien à faire pour le faire partir.

J'ai , nouveau sur mon bureau l'icone privateCam, et deux nouveaux : sioril et sioril toolbar je ne sais pas à quoi ça sert et comment c'est venu.

Usbfix est en travail, je vais tout fermer

A plus
0
voici le lien UsbFix

http://www.cijoint.fr/cjlink.php?file=cj201009/cijua6IHQZ.txt

L'icone privateCam a disparue du bureau mais le pavé est toujours sur mon écran impossible de le fermer !
Je vais éteindre mon ordi et le rallumer.
Est-ce que je peux couper ma connexion internet pendant mon absence ou réactiver les pare feu ou antivirus ?

A plus et merci pour tout
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
19 sept. 2010 à 10:19
marinecat,

Quand je te demande de désactiver les logiciels de protection, c'est seulement pendant le travail des outils. Déconnecte toi du net en ton absence.
Je regarde les rapports.

A +

0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
Modifié par kalimusic le 19/09/2010 à 12:04
marinecat,

Infection par le ver Brontok.

!! Ferme toutes tes applications en cours et désactive la protection résidente de ton anti-virus !!

Branche tous tes supports amovibles (clés USB, DD externes, etc...) sans les ouvrir

1. Relance UsbFix en choisissant maintenant "Suppression"
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* UsbFix scanne ton pc, laisse travailler l'outil (le bureau peut disparaitre)
* A la fin du nettoyage, clique sur OK dans la boite de dialogue
* Upload le dossier zip demandé
* Le rapport doit s'ouvrir spontanément, copie/colle le dans le prochain message

Il est recommandé de redémarrer le pc après cette opération

Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt

Rappel : "Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

2. Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

:OTL 
O4 - HKCU\..\Run: [Yahoo Messengger] C:\Users\phil\Desktop\chrome9.exe  
O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-8183804259-0428679234-659560778-8290\yv8g67.exe) - C:\RECYCLER\S-1-5-21-8183804259-0428679234-659560778-8290\yv8g67.exe File not found 
O20 - HKCU Winlogon: Shell - (C:\Users\phil\AppData\Roaming\szdx.exe) - C:\Users\phil\AppData\Roaming\szdx.exe File not found 
O20 - HKCU Winlogon: Shell - (C:\Users\phil\ctfmon.exe) - C:\Users\phil\ctfmon.exe ()  
MsConfig - StartUpReg: [b]SearchSettings/b - hkey= - key= - C:\Program Files\pdfforge Toolbar\SearchSettings.exe (Spigot, Inc.)  
@Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:580E04D8
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:793F316E
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:B623B5B8
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:4BB26BE9
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:EC2246A6
@Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:9F683177
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:8AB6C1D7
@Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:861A898F
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:3E7393FC
@Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:8173A019
@Alternate Data Stream - 103 bytes -> C:\ProgramData\TEMP:9E22BBE8    
[1 C:\Users\phil\Desktop\*.tmp files -> C:\Users\phil\Desktop\*.tmp -> ]  
[1 C:\Users\phil\*.tmp files -> C:\Users\phil\*.tmp -> ]  
     
:Files 
C:\Users\phil\Desktop\privateCam.exe  
C:\Users\phil\Desktop\chrome9.exe  
D:\A.COMPTA\CAISSE 2010\CAISSE 2010.exe  
C:\Users\phil\ctfmon.exe  
C:\driver      

:Commands  
[emptyflash] 
[emptytemp]

* Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.
* Accepte en cliquant sur OK
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
* Copie/colle le dans ton prochain message

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)


A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
0
Bug : une fenetre internet explorer s'est ouverte (blanche) et ne veut pas se fermer.
un carré Microsoft windows me signale : windows Live Toolbar User Elevation Helper has stopped working . quand je clique sur fermer le programme il ne veut pas, et il scanne toutes les 5 minutes et me le répète.

D'autre part, UsbFix ne veut pas démarrer !

J'ai éteint et rallumé plusieurs fois.

J'ai désactivé UAC et la protection résidente.

J'ai aussi un message de 16bit MS-Dos Subsystem : c:\users\phil\AppData\local\temp\409.exe
the NTVDM CPU has encountered an illegal instruction. CS:1274IP:01ac OP:63 61 74 69 6f Choose 'close' to terminate the application
solutions proposées : close ou ignore
qu'est ce que je dois faire ? je commence à m'inquiéter sérieusement...
0
Bonsoir,

J'ai eu beaucoup de difficultés à faire ce que tu demandais, j'ai eu des messages de fichiers infectés toute la journée, ils sont partout.
Même dans AVG, je n'ai pas pu désactiver l'antivirus.

J'ai quand même fini par réussir à faire l'analyse UsbFix puis OTL

http://www.cijoint.fr/cjlink.php?file=cj201009/cijvkT47FK.txt

http://www.cijoint.fr/cjlink.php?file=cj201009/cijAtqxYMy.txt

voici les deux fichiers joints,

J'espère que ça va être efficace, je te suis vraiment reconnaissante de m'aider

A plus
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
19 sept. 2010 à 20:38
marinecat,

Je te cache pas que l'infection Brontok est assez coriace, ça va un peu mieux depuis de passage de UsbFix ?

1. Télécharge ATF (par A-Tribune) sur le bureau
* Lance ATF
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Coche Select All
* Clique sur Empty Selected
* Clique sur OK dans la boite de dialogue Done cleaning!
* Si tu utilises un autre navigateur que IE, choisis ton navigateur dans l'onglet du haut (Firefox ou Opera )
* Coche Select All
(Si tu souhaites conserver les mots de passe sauvegardés, clique Non à l'invite)
* Clique sur Empty Selected
* Accepte de tout supprimer en cliquant sur OK

Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant.

2. Télécharge MBAM et installe le selon l'emplacement par défaut.
* Effectue la mise à jour et lance Malwarebytes' Anti-Malware
* Clique dans l'onglet du haut "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
* Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +
0
marinecat Messages postés 10 Date d'inscription lundi 20 septembre 2010 Statut Membre Dernière intervention 21 septembre 2010
20 sept. 2010 à 00:52
Bonsoir,
voici le rapport de MBSA
http://www.cijoint.fr/cjlink.php?file=cj201009/cij4m2T8eq.txt

Gros problème j'ai eu du mal a retrouver la suite de notre conversation, je n'accede plus a la page de comment ça marche......
Je ne sais pas ce que je vais avoir encore comme surprise !

ce n'est sans doute pas fini.

A plus et merci encore
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
20 sept. 2010 à 07:44
marinecat,

Est-ce que ça va un peu mieux ? On va réanalyser la situation pour voir :

1. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois

2. Effectue un scan en ligne en suivant ce tutoriel :
Scanner en ligne avec Kaspersky
Utilise le lien alternatif de téléchargement et sauvegarde le rapport au format texte que tu hébergeras ici : http://www.cijoint.fr/
note : attention, ce scan est généralement assez long à réaliser

ou Scanner en ligne avec BitDefender

A +
0
En effet ça a l'air d'aller mieux bien que j'ai encore des messages type
alerte dans windows\system32\drivers\AGP440.sys Trojan Horse Generic11.ADSJ

et je n'arrive pas à avoir la page d'accueil de comment ça marche, je n'ai un plan listé !

Je ne sais pas comment réparer.

Voilà le lien OTL txt

http://www.cijoint.fr/cjlink.php?file=cj201009/cijUCouGlg.txt

Je vais lancer le scan Kaspersky

a plus tard
0
Est-ce que je peux supprimer Sioril ET Sioril Toolbar qui se sont téléchargés sur mon bureau sans mon accord ?

ainsi que Chrome3

ou est-ce que ces fichiers sont bons ?

Merci
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
20 sept. 2010 à 17:37
marinecat,

Oui, tu peux les supprimer les fichiers créés sur ton Bureau.
Si tu n'y arrives pas je le ferais dans un prochain script.

Es-tu arrivé à faire le scan en ligne ?

Rends-toi sur le site de GMER

Attention lit attentivement les instructions, cet outil est à manier avec précautions

* Clique sur le bouton Download EXE pour télécharger l'outil avec un nom aléatoire afin que les malwares ne bloquent pas son exécution
* Enregistre ce fichier sur le bureau

! Désactive les logiciels de protection (anti-virus, anti-spyware, etc) et les défenses résidentes !

- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.

* Si aucun rootkit n'est détecté

* Clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.

* Si un rootkit est détecté au démarrage du programme, une boite de dialogue s'ouvre :
WARNING, GMER has found rootkit activity, Do you want to fully scan your system ?
* Clique sur "YES"

Une fois le scan terminé clique sur le bouton Copy puis OK et colle le rapport dans ton prochain message.


A +
0
marinecat Messages postés 10 Date d'inscription lundi 20 septembre 2010 Statut Membre Dernière intervention 21 septembre 2010
20 sept. 2010 à 22:50
Bon j'ai réussi à scanner avec Kaspersky en ligne, mais ça a pris la journée ! voilà le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201009/cijEPxHct8.txt

Problème rencontré : je n'arrive plus à activer ou désactiver AVG (je ne sais pas s'il fonctionne encore ) et n'ai pas réussi à désactiver windows securité center . comment je dois faire ?

Autre problème, les liens ne fonctionnent plus , peux tu me mettre le lien entier pour telecharger GMER , sur quel site ?

Merci
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
Modifié par kalimusic le 20/09/2010 à 23:14
marinecat,

Pour GMER => http://www.gmer.net/
Tu descends un peu sur la page pour trouver le bouton Download EXE pour télécharger l'outil avec un nom aléatoire.

Mais avant plus urgent, fait cette recherche :

Relance OTL

- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Dans la partie du bas "Personnalisation" , copie/colle la liste en citation :
  
/md5start 
AGP440.sys 
atapi.sys 
winlogon.exe 
explorer.exe 
/md5stop 
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\*.* /s 
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.8173\*.* /s 

* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/

A +

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
0
marinecat Messages postés 10 Date d'inscription lundi 20 septembre 2010 Statut Membre Dernière intervention 21 septembre 2010
21 sept. 2010 à 07:07
Bonjour,

Voici le rapport OTL

http://www.cijoint.fr/cjlink.php?file=cj201009/cijJSaRow7.txt

j'attends ta réponse pour faire GMER ?

A plus
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
Modifié par kalimusic le 21/09/2010 à 08:00
Bonjour,

1. Télécharge The Avenger (by Swandog46)

* Dezippe le sur le Bureau,
* Ferme toutes tes applications et déconnecte toi du net
* Lance The Avenger
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur OK dans la fenêtre d'avertissement
* Copie/colle le texte en citation dans la fenêtre sous Input Script here

drivers to disable:    
ldr7x  

drivers to delete:    
ldr7x  

Files to Delete:    
C:\Windows\System32\drivers\ldr7x.sys    
C:\Users\phil\AppData\Roaming\wiaservg.log     

* Clique sur le bouton "Execute"
* Valide son exécution et accepte le reboot en cliquant successivement sur "Oui"
* Après le re-démarrage, le rapport indiquant les actions réalisées par The Avenger doit s'ouvrir spontanément
( attention si le script contient "Drivers to disable", The Avenger re-démarrera 2 fois )
* Copie/colle le dans ton prochain message

Tu peux le retrouver le fichier à la racine du disque : C:\avenger.txt

2. Relance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* L'interface principale s'ouvre :
* Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

:OTL   
IE - HKCU\..\URLSearchHook: {B3F2AC8D-F171-436F-BCF1-778947D03ABB} - Reg Error: Key error. File not found   
FF - prefs.js..browser.startup.homepage: "https://www.misterbooking.com"     
FF - prefs.js..extensions.enabledItems: {4daac69c-cba7-45e2-9bc8-1044483d3352}:2.5.8.6           
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.        
O2 - BHO: (TBSB02856 Class) - {DC4ED1FB-D2F8-439F-8C54-D076D99FAD0F} - C:\Program Files\Stoolbar\Sioril Toolbar\sioril1.dll ()        
O3 - HKLM\..\Toolbar: (Sioril Toolbar) - {99941A26-7999-4999-9999-6371DE343999} - C:\Program Files\Stoolbar\Sioril Toolbar\sioril1.dll ()        
O3 - HKCU\..\Toolbar\WebBrowser: (Sioril Toolbar) - {99941A26-7999-4999-9999-6371DE343999} - C:\Program Files\Stoolbar\Sioril Toolbar\sioril1.dll ()        
O4 - HKCU\..\Run: [Chrome3] C:\Users\phil\Desktop\chrome3.exe ()    
O4 - HKCU\..\Run: [google]  File not found   
O4 - Startup: C:\Users\phil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Search bar.lnk =  File not found   
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present    
O15 - HKCU\..Trusted Domains: localhost ([]http in Local intranet)    
O15 - HKCU\..Trusted Ranges: GD ([http] in Local intranet)    
O33 - MountPoints2\{56d70f38-7bf5-11de-a293-002197affa10}\Shell - "" = AutoRun    
O33 - MountPoints2\{9f64cc4b-a4fd-11df-800b-002197affa10}\Shell\Auto\command - "" = F:\setup.exe -- File not found   @Alternate Data Stream - 98 bytes -> C:\ProgramData\TEMP:580E04D8   
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:793F316E   
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:B623B5B8   
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:4BB26BE9   
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:EC2246A6   
@Alternate Data Stream - 117 bytes -> C:\ProgramData\TEMP:9F683177   
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:8AB6C1D7   
@Alternate Data Stream - 108 bytes -> C:\ProgramData\TEMP:861A898F   
@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:3E7393FC   
@Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:8173A019   
@Alternate Data Stream - 103 bytes -> C:\ProgramData\TEMP:9E22BBE8     


:Files   
C:\WINDOWS\system32\drivers\agp440.sys | C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys /replace   
C:\Program Files\Stoolbar   
C:\Users\phil\Desktop\chrome3.exe    
C:\Users\phil\Desktop\sioril.gadget    
C:\Users\phil\Desktop\Sioril_Toolbar.exe    
C:\Users\phil\Desktop\setting.ini    
C:\Users\phil\Desktop\autorun.ini    
C:\Users\phil\Desktop\Search.lnk    
C:\Users\phil\Documents\Search bar.lnk    
C:\Users\phil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Search bar.lnk    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\CNFNOT32.EXE_0004_1033    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\DW20.EXE_0001    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\EQNEDT32.EXE_1033    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\MSOHELP.EXE_1033    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\MSPOCRDC.EXE_0001    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\OINFOP11.EXE_1033    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\PROFLWIZ.EXE_1033    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\SCANOST.EXE_1033    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\SCANPST.EXE_0002_1   
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\SNAPVIEW.EXE_1033    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.5614\UNPACK.EXE_1033    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.8173\SCANOST.EXE_1033    
C:\Windows\Installer\$PatchCache$\Managed\9040110900063D11C8EF10054038389C\11.0.8173\SCANPST.EXE_0002_1033    

:Commands   
[resethosts]   
[emptyflash]   
[emptytemp]   
[reboot]

* Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.
* Accepte en cliquant sur OK
* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément
* Copie/colle le dans ton prochain message

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)


3. GMER

Décoche la case à droite IAT/EAT
Sélectionne uniquement C:\
Clique sur scan
Après le balayage, copy & ok
Colle le rapport

4. Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport OTL.txt va s'ouvrir au format bloc-note
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois

A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
0