Rogue sur mon PC

Question

Bonjour, 



J'ai eu certaines erreurs sur mon PC et j'ai lancé une analyse avec RKILL. 
Voici le rapport. 

"This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as Maryline on 19/09/2010 at 13:28:38. 


Services Stopped:


Processes terminated by Rkill or while it was running: 


C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Users\Maryline\AppData\Local\Temp\user.exe
C:\Users\Maryline\AppData\Local\Temp\iexplarer.exe
C:\Users\Maryline\AppData\Local\Temp\csrss.exe
C:\Users\Maryline\AppData\Local\Temp\win.exe
C:\Users\Maryline\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Maryline\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Maryline\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\Maryline\Downloads\rkill.exe


Rkill completed on 19/09/2010  at 13:28:50. "

Que dois-je faire maintenant?

Merci pour votre aide. 

 Configuration: Windows Vista / Safari 534.3

moment de grace · Answer

bonjour 

à lire en premier lieu stp 

http://sd-2.archive-host.com/membres/up/135518691112296573/regles_24.doc 

....................... 

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message




CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Marylou · Answer

voici donc le rapport de malwarebyte: 


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4650

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

19/09/2010 18:32:48
mbam-log-2010-09-19 (18-32-48).txt

Type d'examen: Examen complet (C:\|D:\|H:\|)
Elément(s) analysé(s): 624808
Temps écoulé: 5 heure(s), 0 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 10
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTAKRNL (Trojan.Banker) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfvciejlqf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfvciejlqf (windows; u; windows nt 5.1; en-us; rv:1.9.2.3) gecko/20100401 firefox/3.6.3 (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfvciejlora (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfvciejlpe (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfvciejlqc (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfvciejlqc (windows; u; windows nt 5.1; en-us) applewebkit/533.9 (khtml, like gecko) chrome/6.0.401.1 safari/533.9 (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfvciejlqc (windows; u; windows nt 6.0; en-us; rv:1.9.2.3) gecko/20100401 firefox/3.6.3 (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfvciejlaoc (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfvciejlnumd.com/dw/dw.php?id=%s&ver=d01 (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Maryline\AppData\Local\Temp\user.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Maryline\AppData\Local\Temp\iexplarer.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Maryline\AppData\Local\Temp\csrss.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Maryline\AppData\Local\Temp\win.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Maryline\AppData\Local\Temp\iexplorer.exe (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Users\Maryline\AppData\Local\Temp\skaioejiesfjoee.tmp (Malware.Trace) -> Quarantined and deleted successfully.

moment de grace · Answer

ok

vide la quarantaine

puis

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Marylou · Answer

Ok, voilà le lien:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijFQKs8HA.txt

moment de grace · Answer

ok

d'autres infections encore

1)

Téléchargez USBFIX de El Desaparecido, C_xx

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou
https://www.ionos.fr/?affiliate_id=77097

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

en particulier ceux nommés E F et G

Double clic sur le raccourci UsbFix présent sur le bureau . 

 Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel). 
 Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097 

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 

......................

2)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe 

Miroir: 

https://www.androidworld.fr/ 

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Marylou · Answer

Tout a été fait: voilà la suite donc


======= RAPPORT D'AD-REMOVER 2.0.0.1,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 16/09/10 à 13:30
Contact: AdRemover.contact[AT]gmail.com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:49:57 le 19/09/2010, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Maryline@PC-DE-MARYLINE (Hewlett-Packard HP Pavilion dv2500 Notebook PC) 
 
============== ACTION(S) ==============


0,Dossier supprimé: C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Fichier supprimé: C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
0,Dossier supprimé: C:\Users\Maryline\AppData\Roaming\Mozilla\FireFox\Profiles\bn5wet0p.default\extensions	oolbar@ask.com
0,Dossier supprimé: C:\Program Files\Ask.com
0,Dossier supprimé: C:\Users\Maryline\AppData\LocalLow\AskToolbar
0,Dossier supprimé: C:\Users\Maryline\AppData\LocalLow\Fun Web Products
0,Dossier supprimé: C:\Users\Maryline\AppData\LocalLow\FunWebProducts
0,Dossier supprimé: C:\Users\Maryline\AppData\LocalLow\MyWebSearch
3,Fichier supprimé: C:\Windows\Installer\11c9b39f.msi

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Maryline\AppData\Roaming\Mozilla\FireFox\Profiles\bn5wet0p.default\Prefs.js --
Ligne supprimée: user_pref("extensions.asktb.cbid", "UG"); 
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&... 
Ligne supprimée: user_pref("extensions.asktb.fresh-install", false); 
Ligne supprimée: user_pref("extensions.asktb.l", "dis"); 
Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1284739689616"); 
Ligne supprimée: user_pref("extensions.asktb.locale", "fr_FR"); 
Ligne supprimée: user_pref("extensions.asktb.o", "15158"); 
Ligne supprimée: user_pref("extensions.asktb.options-lang", "fr"); 
Ligne supprimée: user_pref("extensions.asktb.options-locale", "US"); 
Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true); 
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871"); 
Ligne supprimée: user_pref("extensions.asktb.r", "5"); 
Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true); 
Ligne supprimée: user_pref("extensions.enabledItems", "toolbar@ask.com:3.5.1.110,{3f963a5b-e555-4543-90e2-c3908898db7... 
-- Fichier Fermé --
 

1,Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Clé supprimée: HKCU\Software\Ask.com
0,Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
0,Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
0,Clé supprimée: HKCU\Software\AppDataLow\Software\FocusInteractive
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Fun Web Products
0,Clé supprimée: HKCU\Software\AppDataLow\Software\FunWebProducts
0,Clé supprimée: HKCU\Software\AppDataLow\Software\MyWebSearch
3,Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
3,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search
0,Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar (Error code: 1)

0,Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.10 (fr)] **

-- C:\Users\Maryline\AppData\Roaming\Mozilla\FireFox\Profiles\bn5wet0p.default\User.js --
keyword.URL, hxxp://redirecterror.sfr.fr/?q=

-- C:\Users\Maryline\AppData\Roaming\Mozilla\FireFox\Profiles\bn5wet0p.default\Prefs.js --
browser.download.dir, C:\Users\Maryline\Downloads
browser.search.defaultenginename, Yahoo! Search
browser.search.selectedEngine, Yahoo! Search
browser.startup.homepage, hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=73&bd=Pavilion&pf=laptop
browser.startup.homepage_override.mstone, rv:1.9.1.10
keyword.URL, hxxp://fr.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_fr&p=

========================================

** Internet Explorer Version [8.0.6001.18943] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 202 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 19/09/2010 (7089 Octet(s)) 

Fin à: 20:02:40, 19/09/2010 
 
============== E.O.F ==============

moment de grace · Answer

manque le rapport USBfix

Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

Marylou · Answer

############################## | UsbFix 7.025 | [Suppression]

Utilisateur: Maryline (Administrateur) # PC-DE-MARYLINE [Hewlett-Packard HP Pavilion dv2500 Notebook PC]
Mis à jour le 15/09/10 par El Desaparecido / C_XX
Lancé à 19:29:41 | 19/09/2010
Site Web: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
CPU 2: Intel(R) Pentium(R) Dual CPU T2310 @ 1.46GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
RAM -> 2038 Mo 
C:\ (%systemdrive%) -> Disque fixe # 141 Go (16 Go libre(s) - 12%) [] # NTFS
D:\ -> Disque fixe # 8 Go (2 Go libre(s) - 28%) [HP_RECOVERY] # NTFS
E:\ -> Disque amovible # 149 Go (89 Go libre(s) - 60%) [MARYLOU] # FAT32
H:\ -> Disque fixe # 466 Go (128 Go libre(s) - 27%) [Iomega_HDD] # NTFS

################## | Éléments infectieux |


Supprimé! C:\Windows\Tasks\At1.job

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Acrobat.exe
Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AcroRd32.exe
Supprimé! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig
Supprimé! HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore|DisableSR

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1239ac5c-6821-11dd-8dd5-0016d3f6e0c9}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{21178eaf-8981-11dd-844a-0016d3f6e0c9}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{6010d6ff-2c1c-11de-a64c-001cbf2136f7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{84977845-bc3a-11df-ba50-0016d3f6e0c9}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{979b1cd1-8fea-11df-9782-0016d3f6e0c9}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{a590c8f7-9922-11de-8a99-001cbf2136f7}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c5453d79-6c2d-11dd-87d6-0016d3f6e0c9}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c607c957-6153-11de-a555-0016d3f6e0c9}

################## | Listing |

[13/11/2009 - 15:59:40 | HD ] 	C:\$AVG
[27/04/2010 - 16:07:12 | SHD ] 	C:\$RECYCLE.BIN
[21/03/2008 - 15:49:05 | D ] 	C:\0c9e59b9268b0c8727940236e3
[21/03/2008 - 15:48:02 | D ] 	C:\12549edf5558ccd97b1c18
[21/03/2008 - 19:25:07 | D ] 	C:\1f2aaf42df1c30388f6164bb56fc6ec3
[21/03/2008 - 18:10:11 | D ] 	C:\9ddcf9be72a8d977f04c9aaad120
[21/03/2008 - 15:58:03 | D ] 	C:\a85c42a7846e361761
[09/08/2008 - 01:42:36 | D ] 	C:\ACD50
[19/09/2008 - 15:52:50 | D ] 	C:\ALV5000W
[19/09/2008 - 16:04:24 | D ] 	C:\alvstat
[15/08/2007 - 06:34:49 | A | 74] 	C:\autoexec.bat
[28/03/2008 - 10:44:50 | D ] 	C:\ba31030b6c70f741ac1b27
[24/07/2009 - 12:18:53 | SHD ] 	C:\boot
[11/04/2009 - 08:36:36 | RASH | 333257] 	C:\bootmgr
[09/03/2010 - 18:02:00 | D ] 	C:\Bruker
[18/09/2006 - 23:43:37 | A | 10] 	C:\config.sys
[26/07/2008 - 02:09:55 | D ] 	C:\CPII
[04/03/2010 - 17:52:02 | D ] 	C:\CSTEMP
[14/01/2010 - 10:34:28 | D ] 	C:\ddf7bc5f2d1c577cd8f9fc832bc6
[09/12/2007 - 14:49:22 | SHD ] 	C:\Documents and Settings
[07/07/2010 - 23:22:47 | D ] 	C:\DOKUME~1
[09/03/2010 - 18:22:29 | D ] 	C:\FLEXlm
[04/03/2010 - 05:37:40 | SHD ] 	C:\found.000
[19/09/2010 - 19:25:18 | ASH | 2135318528] 	C:\hiberfil.sys
[15/08/2007 - 06:55:10 | HD ] 	C:\HP
[04/03/2008 - 11:47:49 | D ] 	C:\Intel
[28/01/2008 - 10:49:51 | RASH | 0] 	C:\IO.SYS
[18/12/2007 - 17:50:35 | D ] 	C:\MalvTemp
[28/01/2008 - 10:49:51 | RASH | 0] 	C:\MSDOS.SYS
[13/12/2007 - 13:04:02 | RHD ] 	C:\MSOCache
[07/07/2010 - 23:21:52 | D ] 	C:\OPUSVIEWER
[19/09/2010 - 19:25:15 | ASH | 2451165184] 	C:\pagefile.sys
[21/03/2008 - 14:54:19 | D ] 	C:\PCS
[28/03/2008 - 11:55:36 | D ] 	C:\PerfLogs
[19/09/2010 - 18:51:41 | RD ] 	C:\Program Files
[06/04/2010 - 22:16:59 | HD ] 	C:\ProgramData
[05/03/2010 - 12:08:56 | D ] 	C:\Python25
[03/03/2010 - 22:07:55 | SHD ] 	C:\RECYCLER
[19/09/2010 - 13:28:50 | A | 1054] 	C:\rkill.log
[26/08/2009 - 16:29:08 | D ] 	C:\SFSCHLR
[20/10/2008 - 14:14:55 | D ] 	C:\SwSetup
[19/09/2010 - 00:00:21 | SHD ] 	C:\System Volume Information
[20/10/2008 - 14:16:53 | HD ] 	C:\System.sav
[17/09/2010 - 18:40:46 | D ] 	C:\Temp
[19/09/2010 - 19:42:05 | D ] 	C:\UsbFix
[19/09/2010 - 19:30:08 | A | 4301] 	C:\UsbFix.txt
[08/09/2010 - 21:04:46 | RD ] 	C:\Users
[16/09/2010 - 10:59:44 | D ] 	C:\Windows
[20/08/2010 - 16:59:48 | D ] 	C:\_AcroTemp
[09/03/2010 - 18:32:31 | SHD ] 	D:\$RECYCLE.BIN
[11/09/2005 - 17:18:54 | SH | 340] 	D:\AUTOMODE
[09/12/2007 - 14:59:17 | SH | 13] 	D:\BLOCK.RIN
[18/10/2007 - 11:35:30 | SHD ] 	D:\boot
[04/10/2006 - 01:02:44 | SH | 438328] 	D:\bootmgr
[03/11/2006 - 21:43:28 | SH | 117] 	D:\Desktop.ini
[10/09/2002 - 18:14:28 | SH | 8134] 	D:\Folder.htt
[18/10/2007 - 11:35:30 | SHD ] 	D:\HP
[18/10/2007 - 09:51:06 | SH | 698] 	D:\MASTER.LOG
[18/10/2007 - 11:35:30 | SHD ] 	D:\preload
[03/11/2005 - 17:19:52 | SH | 181736] 	D:\protect.ed
[18/10/2007 - 11:35:31 | RD ] 	D:\RECOVERY
[03/03/2010 - 22:07:56 | SHD ] 	D:\RECYCLER
[18/10/2007 - 11:35:30 | SHD ] 	D:\SOURCES
[03/03/2010 - 22:07:56 | SHD ] 	D:\System Volume Information
[18/10/2007 - 11:35:31 | SHD ] 	D:\Tools
[18/10/2007 - 09:51:22 | SH | 0] 	D:\USER
[18/10/2007 - 11:35:31 | SHD ] 	D:\WINDOWS
[01/01/2000 - 09:53:56 | HD ] 	E:\iPod_Control
[01/01/2000 - 09:53:00 | N | 0] 	E:\.metadata_never_index
[01/01/2000 - 09:53:02 | D ] 	E:\Contacts
[01/01/2000 - 09:53:04 | D ] 	E:\Notes
[01/01/2000 - 09:53:04 | D ] 	E:\Recordings
[06/09/2010 - 14:09:48 | A | 27051] 	E:\Mail.docx
[14/09/2010 - 18:54:52 | D ] 	E:\musique a ajouter

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-MARYLINE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |

moment de grace · Answer

bien

fais un nouveau rapport ZHPdiag

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


pour t'aider sur ci joijnt : https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Marylou · Answer

OK.
Alors voilà le résultat:

http://www.cijoint.fr/cjlink.php?file=cj201009/cijyxHylCU.txt

moment de grace · Answer

ok

1)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[MD5.903320C5B6A96428E0DFC191E63EFEE1] - (.Alexander Roshal - GoldSoft.) -- C:\Users\Maryline\AppData\Local\Temp\Gdm.exe   [190464]
[MD5.E6FCB24D437B82082707F081573ABF8E] - (.Alexander Roshal - GoldSoft.) -- C:\Windows\Gwiwua.exe   [186368]     
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Pas de propriétaire - Pas de description.) -- (.not file.)     
O4 - HKCU\..\Run: [ASH24SXZ9S] . (.Alexander Roshal - GoldSoft.) -- C:\Users\Maryline\AppData\Local\Temp\Gdm.exe     
O4 - HKCU\..\Run: [OTGV1DNWQQ] . (.Alexander Roshal - GoldSoft.) -- C:\Windows\Gwiwua.exe     
O4 - HKUS\S-1-5-21-2278434299-719953971-1314416694-1000\..\Run: [ASH24SXZ9S] . (.Alexander Roshal - GoldSoft.) -- C:\Users\Maryline\AppData\Local\Temp\Gdm.exe     
O4 - HKUS\S-1-5-21-2278434299-719953971-1314416694-1000\..\Run: [OTGV1DNWQQ] . (.Alexander Roshal - GoldSoft.) -- C:\Windows\Gwiwua.exe     
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job     
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job     
[HKCU\Software\ASH24SXZ9S]     
[HKCU\Software\LdShih]     
[HKCU\Software\OTGV1DNWQQ]     
[HKCU\Software\XML]     
O44 - LFC:[MD5.E6FCB24D437B82082707F081573ABF8E] - 19/09/2010 - 19:47:42 ---A- . (.Alexander Roshal - GoldSoft.) -- C:\Windows\Gwiwua.exe   [186368]     
O44 - LFC:[MD5.4CBFC50299A4AD033B25C7A544468779] - 19/09/2010 - 19:47:36 ---A- . (.Alexander Roshal - GoldSoft.) -- C:\Windows\System32\sshnas21.dll   [218112]   


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 

.......................

2)


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

Marylou · Answer

ok: après zhpfix, le rapport: 


Rapport de ZHPFix v1.12.3153 par Nicolas Coolman, Update du 16/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-19-09-2010-22-22-12.txt
Run by Maryline at 19/09/2010 22:22:12
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Windows\Gwiwua.exe [186368]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  => Clé supprimée avec succès
HKCU\Software\ASH24SXZ9S  => Clé supprimée avec succès
HKCU\Software\LdShih  => Clé supprimée avec succès
HKCU\Software\OTGV1DNWQQ  => Clé supprimée avec succès
HKCU\Software\XML  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [ASH24SXZ9S] . (.Alexander Roshal - GoldSoft.) -- C:\Users\Maryline\AppData\Local\Temp\Gdm.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [OTGV1DNWQQ] . (.Alexander Roshal - GoldSoft.) -- C:\Windows\Gwiwua.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-2278434299-719953971-1314416694-1000\..\Run: [ASH24SXZ9S] . (.Alexander Roshal - GoldSoft.) -- C:\Users\Maryline\AppData\Local\Temp\Gdm.exe  => Valeur absente
O4 - HKUS\S-1-5-21-2278434299-719953971-1314416694-1000\..\Run: [OTGV1DNWQQ] . (.Alexander Roshal - GoldSoft.) -- C:\Windows\Gwiwua.exe  => Valeur absente

========== Fichier(s) ==========
c:\users\maryline\appdata\local	emp\gdm.exe ()   => Fichier absent
c:\windows	asks\{22116563-108c-42c0-a7ce-60161b75e508}.job  => Supprimé et mis en quarantaine
c:\windows	asks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job  => Supprimé et mis en quarantaine
c:\windows\system32\sshnas21.dll  => Supprimé et mis en quarantaine

========== Autre ==========
MD5.903320C5B6A96428E0DFC191E63EFEE1] - (.Alexander Roshal - GoldSoft.) -- C:\Users\Maryline\AppData\Local\Temp\Gdm.exe [190464]  => Format Non supporté


========== Récapitulatif ==========
1 : Processus mémoire
5 : Clé(s) du Registre
4 : Valeur(s) du Registre
4 : Fichier(s)
1 : Autre


End of the scan

Marylou · Answer

Ensuite: 

http://www.cijoint.fr/cjlink.php?file=cj201009/cijKOZXKIy.txt

et 

http://www.cijoint.fr/cjlink.php?file=cj201009/cij5uSvQWD.txt

Je suis pas sûre d'avoir bien desactive mon antivirus: j'ai fait tout ça en mode sans echec...

moment de grace · Answer

ok

on arrive au bout bientôt

en normal si tu peux

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

.....................

2)

Télécharges sur ton bureau MBRCheck

https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe


Utilisateurs Windows XP => double clique >>sur MBRCheck.exe 
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur MBRCheck.exe pour le lancer. 

* Une fenêtre s'ouvre : 
* Si tu as un message de ce genre : Done! Press ENTER to exit... 
* Appuie sur Entrée 
* Si tu as un message de ce genre : Found non-standard or infected MBR. 
* Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
* Appuie sur la touche N puis ur Entrée 
* Un fichier texte du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_xx.xx.xx.xx.xx.xx.txt). 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport  

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Marylou · Answer

Ok. Tout est fait.

Le lien: 

http://www.cijoint.fr/cjlink.php?file=cj201009/cijaUoQONJ.txt



(Et évidemment: MERCI pour tout ça!!!!!!!)

moment de grace · Answer

(sourire) 


* Relance l'outil MBRCheck.exe enregistrer sous Bureau:  

1)Tu verras ceci >>Found non-standard or infected MBR.  
Tape la lettre Y puis valide avec la touche [Entrée]  

2) * Ensuite, tu auras ceci :Options  
Choisis l'option 2 (tape le chiffre) et appuie sur [Entrée]  

3) * Ensuite, tu verras ceci >> Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):  
Tape le chiffre 0 puis valide avec [Entrée]  

4)* Tu auras maintenant un choix à faire, avec des codes de MBR :Available MBR codes  
* Tape le chiffre 3 puis valide avec [Entrée]  

5)* Ensuite, tu verras ceci :Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:  
tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée]  

6)En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!  


...suivi de "Please reboot your computer to complete the fix."  

* Maintenant, je te demanded'éteindre ton PC (via le bouton "Démarrer")  
* Patiente 5 minutes. Après les 5 minutes, démarre ton PC normalement, puis viens coller le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau). 


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Marylou · Answer

rapport killem: 


¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.6 ¤¤¤¤¤¤¤¤¤¤ 
 

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\ProgramData\hpzinstall.log 
Quarantined & Deleted !! : C:\ProgramData\LUUnInstall.LiveUpdate 
 
Quarantined & Deleted !! : C:\Windows\system32\AbaleZip.dll 
Quarantined & Deleted !! : C:\Windows\System32\x64 
Quarantined & Deleted !! : C:\Users\Maryline\AppData\Local\d3d9caps.dat 
Quarantined & Deleted !! : C:\Users\Maryline\AppData\Local\GDIPFONTCACHEV1.DAT 
Quarantined & Deleted !! : C:\Users\Maryline\Local Settings\Temp\a.dat 
Quarantined & Deleted !! : C:\Users\Maryline\Local Settings\Temp\Gdn.exe 
Quarantined & Deleted !! : C:\Users\Maryline\Local Settings\Temp\Gdo.exe 
Quarantined & Deleted !! : C:\Users\Maryline\LOCAL Settings\Temp\catchme.dll 
Quarantined & Deleted !! : C:\Users\Maryline\LOCAL Settings\Temp\sshnas21.dll 
Deleted !! : C:\$Recycle.bin\S-1-5-21-2278434299-719953971-1314416694-1000\$IKHYV5D   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2278434299-719953971-1314416694-1000\$IONDTBP.exe   
Deleted !! : C:\$Recycle.bin\S-1-5-21-2278434299-719953971-1314416694-1000\$IVLL7OA.rar   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : "HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search"  
Deleted : "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar"  
Deleted : "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}"  
Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}  
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCU\SOFTWARE\Microsoft\Handle  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF  
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E  

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	=      	1 () 
UacDisableNotify	=      	1 () 
InternetSettingsDisableNotify	=      	1 () 
AutoUpdateDisableNotify	=      	1 () 
FirstRunDisabled	=      	1 () 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Wlansvc : Start = 2   
 SharedAccess : Start = 2   
 windefend : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace · Answer

https://forums.commentcamarche.net/forum/affich-19228753-rogue-sur-mon-pc#16

Marylou · Answer

Voilà le dernier rapport :

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	Wistron
BIOS Manufacturer:		Phoenix
System Manufacturer:		Hewlett-Packard
System Product Name:		HP Pavilion dv2500 Notebook PC
Logical Drives Mask:		0x0000009c

Kernel Drivers (total 161):
  0x82438000 \SystemRoot\system32
tkrnlpa.exe
  0x82405000 \SystemRoot\system32\hal.dll
  0x8040F000 \SystemRoot\system32\kdcom.dll
  0x80416000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x80486000 \SystemRoot\system32\PSHED.dll
  0x80497000 \SystemRoot\system32\BOOTVID.dll
  0x8049F000 \SystemRoot\system32\CLFS.SYS
  0x804E0000 \SystemRoot\system32\CI.dll
  0x80608000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x80684000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x80691000 \SystemRoot\system32\drivers\acpi.sys
  0x806D7000 \SystemRoot\system32\drivers\WMILIB.SYS
  0x806E0000 \SystemRoot\system32\drivers\msisadrv.sys
  0x806E8000 \SystemRoot\system32\drivers\pci.sys
  0x8070F000 \SystemRoot\System32\drivers\partmgr.sys
  0x8071E000 \SystemRoot\system32\DRIVERS\compbatt.sys
  0x80721000 \SystemRoot\system32\DRIVERS\BATTC.SYS
  0x8072B000 \SystemRoot\system32\drivers\volmgr.sys
  0x8073A000 \SystemRoot\System32\drivers\volmgrx.sys
  0x80784000 \SystemRoot\system32\DRIVERS\pciide.sys
  0x8078B000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x80799000 \SystemRoot\System32\drivers\mountmgr.sys
  0x82A0E000 \SystemRoot\system32\DRIVERS\iaStor.sys
  0x82ACC000 \SystemRoot\system32\drivers\atapi.sys
  0x82AD4000 \SystemRoot\system32\drivers\ataport.SYS
  0x82AF2000 \SystemRoot\system32\drivers\fltmgr.sys
  0x82B24000 \SystemRoot\system32\drivers\fileinfo.sys
  0x82B34000 \SystemRoot\System32\Drivers\PxHelp20.sys
  0x82B3D000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x88003000 \SystemRoot\system32\drivers
dis.sys
  0x8810E000 \SystemRoot\system32\drivers\msrpc.sys
  0x88139000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8820D000 \SystemRoot\System32\drivers	cpip.sys
  0x882F7000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x88402000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x88512000 \SystemRoot\system32\drivers\volsnap.sys
  0x8854B000 \SystemRoot\System32\Drivers\spldr.sys
  0x88553000 \SystemRoot\System32\Drivers\mup.sys
  0x88562000 \SystemRoot\System32\drivers\ecache.sys
  0x88589000 \SystemRoot\system32\drivers\disk.sys
  0x8859A000 \SystemRoot\system32\drivers\CLASSPNP.SYS
  0x885BB000 \SystemRoot\system32\drivers\crcdisk.sys
  0x885D1000 \SystemRoot\system32\DRIVERS	unnel.sys
  0x885DC000 \SystemRoot\system32\DRIVERS	unmp.sys
  0x885E5000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x885F4000 \SystemRoot\system32\DRIVERS\cpqbttn.sys
  0x883D0000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x885F7000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x883E0000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x8C005000 \SystemRoot\system32\DRIVERS\igdkmd32.sys
  0x8C903000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x8C9A4000 \SystemRoot\System32\drivers\watchdog.sys
  0x8C9B0000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0x8C9BB000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x883E9000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x8CA0E000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x8CA9B000 \SystemRoot\system32\DRIVERS\yk60x86.sys
  0x8CE03000 \SystemRoot\system32\DRIVERS\NETw5v32.sys
  0x8D18C000 \SystemRoot\system32\DRIVERS\ohci1394.sys
  0x8D19C000 \SystemRoot\system32\DRIVERS\1394BUS.SYS
  0x8D1AA000 \SystemRoot\system32\DRIVERS\sdbus.sys
  0x8D1C4000 \SystemRoot\system32\DRIVERSimmptsk.sys
  0x8D1D3000 \SystemRoot\system32\DRIVERSimsptsk.sys
  0x8CAE7000 \SystemRoot\system32\DRIVERSixdptsk.sys
  0x8D1E7000 \SystemRoot\system32\DRIVERS\CmBatt.sys
  0x8D1EB000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x8CB38000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8CB43000 \SystemRoot\system32\DRIVERS\Apfiltr.sys
  0x8CB6C000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8CB77000 \SystemRoot\system32\DRIVERS\msiscsi.sys
  0x8CBA6000 \SystemRoot\system32\DRIVERS\storport.sys
  0x8CBE7000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x88174000 \SystemRoot\system32\DRIVERSasl2tp.sys
  0x8CBF2000 \SystemRoot\system32\DRIVERS
distapi.sys
  0x8818B000 \SystemRoot\system32\DRIVERS
diswan.sys
  0x881AE000 \SystemRoot\system32\DRIVERSaspppoe.sys
  0x881BD000 \SystemRoot\system32\DRIVERSaspptp.sys
  0x881D1000 \SystemRoot\system32\DRIVERSassstp.sys
  0x881E6000 \SystemRoot\system32\DRIVERS	ermdd.sys
  0x8D1FE000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x82BAE000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8CA00000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x88200000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x881F6000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0x807A9000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x82BD8000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x805C0000 \SystemRoot\system32\drivers\CHDRT32.sys
  0x8DC0A000 \SystemRoot\system32\drivers\portcls.sys
  0x8DC37000 \SystemRoot\system32\drivers\drmk.sys
  0x8DC5C000 \SystemRoot\system32\DRIVERS\HSXHWAZL.sys
  0x8DC9A000 \SystemRoot\system32\DRIVERS\HSX_DPV.sys
  0x8DE0B000 \SystemRoot\system32\DRIVERS\HSX_CNXT.sys
  0x8DEC0000 \SystemRoot\system32\drivers\modem.sys
  0x8DEE5000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0x8DEEE000 \SystemRoot\System32\Drivers\Null.SYS
  0x8DEF5000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8DEFC000 \SystemRoot\System32\drivers\vga.sys
  0x8DF08000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8DF29000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8DF31000 \SystemRoot\system32\driversdpencdd.sys
  0x8DF39000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8DF44000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8DF52000 \SystemRoot\System32\DRIVERSasacd.sys
  0x8DF5B000 \SystemRoot\system32\DRIVERS	dx.sys
  0x8DF71000 \SystemRoot\System32\Drivers\avgtdix.sys
  0x8DFAB000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0x8DFC0000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x8DFC2000 \SystemRoot\System32\DRIVERS
etbt.sys
  0x8DECD000 \SystemRoot\system32\DRIVERS\smb.sys
  0x8DD9D000 \SystemRoot\system32\drivers\afd.sys
  0x8E606000 \SystemRoot\system32\DRIVERS\ATSwpDrv.sys
  0x8E629000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8E63F000 \SystemRoot\system32\DRIVERS
etbios.sys
  0x8E64D000 \SystemRoot\system32\DRIVERS\eabfiltr.sys
  0x8E64F000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x8E662000 \SystemRoot\system32\DRIVERSdbss.sys
  0x8E69E000 \SystemRoot\system32\drivers
siproxy.sys
  0x8E6A8000 \SystemRoot\System32\Drivers\dfsc.sys
  0x8E6BF000 \SystemRoot\System32\Drivers\avgmfx86.sys
  0x8E6C5000 \SystemRoot\System32\Drivers\avgldx86.sys
  0x8E6F9000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0x8E710000 \SystemRoot\system32\DRIVERS\usbscan.sys
  0x8E71D000 \SystemRoot\system32\DRIVERS\usbprint.sys
  0x8E727000 \SystemRoot\System32\Drivers\usbvideo.sys
  0x8E748000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x8E751000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x8E759000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x88312000 \SystemRoot\System32\Drivers\dump_iaStor.sys
  0x980D0000 \SystemRoot\System32\win32k.sys
  0x8E766000 \SystemRoot\System32\drivers\Dxapi.sys
  0x8E770000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x982F0000 \SystemRoot\System32\TSDDD.dll
  0x98310000 \SystemRoot\System32\cdd.dll
  0x8E77F000 \SystemRoot\system32\drivers\luafv.sys
  0xAC402000 \SystemRoot\system32\drivers\spsys.sys
  0xAC4B2000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0xAC4C2000 \SystemRoot\system32\DRIVERS
wifi.sys
  0xAC4EC000 \SystemRoot\system32\DRIVERS
disuio.sys
  0xAC4F6000 \SystemRoot\system32\DRIVERSspndr.sys
  0xAC509000 \SystemRoot\system32\drivers\HTTP.sys
  0xAC576000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0xAC593000 \SystemRoot\system32\DRIVERS\bowser.sys
  0xAC5AC000 \SystemRoot\System32\drivers\mpsdrv.sys
  0xAC5C1000 \SystemRoot\system32\drivers\mrxdav.sys
  0x8E7A2000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x8E7C1000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0xAC5E2000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0xAD406000 \SystemRoot\System32\DRIVERS\srv2.sys
  0xAD42D000 \SystemRoot\System32\DRIVERS\srv.sys
  0xAD493000 \SystemRoot\system32\DRIVERS\mdmxsdk.sys
  0xAD497000 \SystemRoot\system32\drivers\peauth.sys
  0xAD575000 \SystemRoot\System32\Drivers\secdrv.SYS
  0xAD57F000 \SystemRoot\System32\drivers	cpipreg.sys
  0xAD58B000 \SystemRoot\system32\DRIVERS\xaudio.sys
  0xAD593000 \SystemRoot\system32\DRIVERS\WUDFRd.sys
  0xAD5A8000 \SystemRoot\system32\DRIVERS\WUDFPf.sys
  0xAD5BA000 \SystemRoot\system32\drivers	dtcp.sys
  0xAD5C5000 \SystemRoot\System32\DRIVERS	ssecsrv.sys
  0xC6206000 \SystemRoot\System32\Drivers\RDPWD.SYS
  0xC623D000 \??\C:\Users\Maryline\AppData\Local\Temp\mbr.sys
  0x77820000 \Windows\System32
tdll.dll

Processes (total 95):
       0 System Idle Process
       4 System
     540 C:\Windows\System32\smss.exe
     592 csrss.exe
     644 C:\Windows\System32\wininit.exe
     656 csrss.exe
     692 C:\Windows\System32\services.exe
     704 C:\Windows\System32\lsass.exe
     716 C:\Windows\System32\lsm.exe
     784 C:\Windows\System32\winlogon.exe
     892 C:\Windows\System32\svchost.exe
     936 C:\Windows\System32\svchost.exe
     980 C:\Windows\System32\svchost.exe
    1128 C:\Windows\System32\svchost.exe
    1156 C:\Windows\System32\svchost.exe
    1208 C:\Windows\System32\svchost.exe
    1288 C:\Windows\System32\audiodg.exe
    1308 C:\Windows\System32\svchost.exe
    1336 C:\Windows\System32\SLsvc.exe
    1364 C:\Windows\System32\svchost.exe
    1604 C:\Windows\System32\svchost.exe
    1832 C:\Windows\System32\spoolsv.exe
    1864 C:\Windows\System32\svchost.exe
     220 C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
     416 C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
     476 C:\Program Files\AVG\AVG9\avgwdsvc.exe
     600 C:\Program Files\Bonjour\mDNSResponder.exe
      12 C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
    1324 C:\Program Files\AVG\AVG9\avgnsx.exe
    2056 C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTmon.exe
    2116 C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    2256 C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    2300 C:\Program Files\Autodesk\3dsMax8\mentalray\satelliteaysat_3dsmax8server.exe
    2316 C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
    2388 C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
    2508 C:\Program Files\Bioscrypt\VeriSoft\Bin\asghost.exe
    2532 C:\Windows\System32	askeng.exe
    2564 C:\Windows\System32\dwm.exe
    2572 C:\Windows\System32\svchost.exe
    2608 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    2668 C:\Windows\explorer.exe
    2680 C:\Windows\System32	askeng.exe
    2700 C:\Program Files\Microsoft SQL Server\90\Shared\sqlbrowser.exe
    2744 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
    2832 C:\Windows\System32\svchost.exe
    2892 C:\Windows\System32\svchost.exe
    2924 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVC.EXE
    2956 C:\Program Files\AVG\AVG9\avgrsx.exe
    2964 C:\Program Files\AVG\AVG9\avgchsvx.exe
    3028 C:\Program Files\AVG\AVG9\avgcsrvx.exe
    3200 C:\Windows\System32\SearchIndexer.exe
    3472 C:\Windows\System32\drivers\XAudio.exe
    3536 C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
    3868 WUDFHost.exe
    4084 C:\Program Files\Apoint2K\Apoint.exe
    2248 C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
    2208 C:\Program Files\HP\QuickPlay\QPService.exe
    2676 C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
    3352 C:\Program Files\Common Files\microsoft shared\Windows Live\WLIDSVCM.EXE
    3612 C:\Windows\System32\igfxsrvc.exe
    2200 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
    1304 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
    3912 C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
    3984 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    1432 C:\Windows\System32\igfxtray.exe
    3512 C:\Windows\System32\hkcmd.exe
    4048 C:\Windows\System32\igfxpers.exe
    3952 C:\Program Files\HP\HP Software Update\hpwuschd2.exe
    1240 C:\Program Files\AVG\AVG9\avgtray.exe
    1908 C:\Program Files\Adobe\Acrobat 9.0\Acrobat\acrotray.exe
    2032 C:\Program Files\iTunes\iTunesHelper.exe
    2488 C:\Windows\ehome\ehtray.exe
    2516 C:\Program Files\Windows Sidebar\sidebar.exe
    3132 C:\Program Files\SFR\Kit\9props.exe
    3924 C:\Program Files\MySurvey Messenger\MySurveyMessenger.exe
    3604 C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
    2932 C:\Users\Maryline\AppData\Local\Google\Chrome\Application\chrome.exe
    3712 C:\Windows\ehome\ehmsas.exe
    4108 WmiPrvSE.exe
    4280 C:\Windows\System32\mobsync.exe
    4828 C:\Users\Maryline\AppData\Local\Google\Chrome\Application\chrome.exe
    4940 C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
    5040 C:\Users\Maryline\AppData\Local\Google\Chrome\Application\chrome.exe
    5648 C:\Program Files\Apoint2K\ApMsgFwd.exe
    5816 C:\Program Files\Apoint2K\ApntEx.exe
    5976 C:\Windows\System32\conime.exe
    4532 C:\Program Files\iPod\bin\iPodService.exe
    5744 C:\Windows\System32\wbem\unsecapp.exe
    4452 C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Service.exe
    1720 C:\Program Files\Windows Live\Toolbar\wltuser.exe
    2380 C:\Users\Maryline\AppData\Local\Google\Chrome\Application\chrome.exe
    5364 C:\Windows\System32
otepad.exe
    5276 C:\Users\Maryline\AppData\Local\Google\Chrome\Application\chrome.exe
    5384 C:\Windows\System32
otepad.exe
     636 C:\Users\Maryline\Downloads\MBRCheck.exe

\.\C: --> \.\PhysicalDrive0 at offset 0x00000000'00007e00  (NTFS)
\.\D: --> \.\PhysicalDrive0 at offset 0x00000023'59ccb600  (NTFS)
\.\H: --> \.\PhysicalDrive1 at offset 0x00000000'00007e00  (NTFS)

PhysicalDrive0 Model Number: FUJITSUMHW2160BHPL, Rev: 891F    
PhysicalDrive1 Model Number: ST9500325AS, Rev: 

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \.\PhysicalDrive0   Unknown MBR code
            SHA1: D94F393960D1CD66C2071F2D7260A5196DF105AC
    465 GB  \.\PhysicalDrive1   RE: Unknown MBR code
            SHA1: 639AC5CDF8A5CF3245975932C6A4215450A7B98F


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
 [ 0] Default (Windows Vista)
 [ 1] Windows XP
 [ 2] Windows Server 2003
 [ 3] Windows Vista
 [ 4] Windows 2008
 [ 5] Windows 7
 [-1] Cancel

Please select the MBR code to write to this drive: 3
Do you want to fix the MBR code?  Type 'YES' and hit ENTER to continue: Yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


Done!

moment de grace · Answer

ok

comment va ce pc ?

Marylou · Answer

BEAUCOUP BEAUCOUP plus rapide qu'avant de faire tout ça!!!! 
J'avais oublié ce que c'était d'avoir un PC (presque) neuf! 

Merci beaucoup vraiment! Je sais pas quoi dire de plus... si ce n'est MERCI!!!

Bon après, j'ai  un autre petit souci: lecteur CD non détecté... mais je sais pas si c'est ici qu'on peut en parler.

https://forums.commentcamarche.net/forum/affich-5432866-lecteur-cd-dvd-rw-disparu-au-poste-de-travail

https://forums.commentcamarche.net/forum/affich-19233680-lecteur-cd-disparu


En tout cas, MERCI encore, c'est absolument génial d'avoir un PC qui fonctionne (presque) bien!

moment de grace · Answer

on termine la désinfection 



1) 

Mettre à jour la Console Java ? :  
https://www.java.com/fr/download/uninstalltool.jsp 

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version).  

voici pour desinstaller :  

JavaRa  
http://raproducts.org/click/click.php?id=1 

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).  
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.  
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).  
* Choisis Français puis clique sur Select.  
* Clique sur Recherche de mises à jour.  
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.  
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.  
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.  
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.  
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.  
* Ferme l'application.  

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.  


............. 

2) 

* Lancez Adobe Reader 
* Cliquez sur Edition --> Préférences --> JavaScript 
* Décochez "Activer Acrobat JavaScript" 
* Validez 

.................... 

3) 
IMPORTANT 

Purger la restauration systeme vista 
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista 


................. 

4) 
pour supprimer les outils de désinfection :  

télécharge Delfix de Xplode 

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe  

choisis l'option 2  

poste son rapport 
............................................... 

Recommandations pour l'avenir 

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes... 
- logiciels non à jour (windows, internet explorer, java, adobe reader etc) 
- installation de toolbar 
- fréquentation de sites piégés 
- P2P 
- Application de cracks 
- Supports usb 

Pour t'aider dans cette tâche, voici quelques pistes 

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox 
http://www.mozilla-europe.org/fr/firefox/ 

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus  
pour bloquer les publicités 
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html 

............................ 

WOT - Extension pour ton navigateur internet :  
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :  
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/  
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp  

........................ 

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils ! 

.......................... 

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)  
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 
Au menu principal, choisis l'option 3 (Vaccination). 
............................ 

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan 
....................... 

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....  
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.  
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse  

.......................... 
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html 

........................ 
A lire pour mieux comprendre l'environnement qui t'entoure 
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html 
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf 

http://www.libellules.ch/... 

.......................................

Téléchargez le fichier DisparitionCD sur votre Bureau.
 http://docxp.mvps.org/b1n/DisparitionCD.inf

Cliquez droit sur le fichier téléchargé et choisissez Installer. 
Redémarrez votre PC.






Je cherche beaucoup...et maintenant je trouve !  
(sourire) 

-- 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

Rogue sur mon PC

22 réponses

Votre réponse

Newsletters