Virus ou malware en vue ?... (Prob. Firefox)

Question

Bonjour tout-le-monde, 

Depuis hier, sur mon PC portable (ACER Aspire 9410, Windows XP), Firefox 3.6.12 réagit de façon étrange : Il m'est désormais impossible de l'ouvrir dans une seconde fenêtre.

J'ai fait une analyse avec Antivir, ainsi qu'avec Malwarebites Antimalware, qui n'ont rien trouvé. J'ai également généré un rapport sous Hijackthis et j'ai soigneusement supprimé les trois lignes suspectes (ça concernait "Internet Explorer" et "crawler"...).

J'ai redémarré le PC et relancé Firefox : même problème. J'ai alors désinstallé, puis ré-installé Firefox puis remis mes fichiers de cookies et de marque-pages que j'avais sauvegardés. Jusque là, tout allait bien.

Les ennuis ont recommencé à partir du moment où j'ai voulu réinstaller certains modules complémentaires : Adblock et Antbar. J'ignore ce qui coince, dans la mesure où j'ai la même version de Firefox sur mon PC fixe, avec ces deux extensions qui fonctionnent parfaitement sans empêcher Firefox de s'ouvrir dans une nouvelle fenêtre.

J'avoue que je suis perdue... Merci de m'éclairer si vous avez une idée d'où le problème peut venir...

Bon après-midi.

gen-hackman · Answer

salut


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Fanfan-1964 · Answer

Voilà le résultat du rapport généré par Ad-remover :


======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 25/10/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:27:55 le 04/11/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86) 
Françoise MARANDIN@PC-PORTABLE ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Program Files\Crawler

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{47C6C527-6204-4F91-849D-66E234DEE015}
Clé supprimée: HKLM\Software\Classes\CLSID\{9461b922-3c5a-11d2-bf8b-00c04fb93661}
Clé supprimée: HKLM\Software\Classes\CLSID\{B791A095-A4AC-4312-8894-5B7E8FF5B3CD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ECA4E801-17AE-4863-9F5C-AF4047AABEE0}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}

Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{4B3803EA-5230-4DC3-A7FC-33638F3D3542}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Documents and Settings\Françoise MARANDIN\Application Data\Mozilla\FireFox\Profiles\vd2mcytt.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.12

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 04/11/2010 (545 Octet(s)) 

Fin à: 16:31:57, 04/11/2010 
 
============== E.O.F ==============

Fanfan-1964 · Answer

Re, 

Décidément, il se passe des choses étranges... Par moment, je ne vois plus le contenu des pages en entier et, si j'essaie d'aller dans un autre onglet, tout semble se mélanger, comme si les images se superposaient. 

J'ai voulu faire une capture d'écran sous Photofiltre et je n'ai pas pu : le texte en face des icônes avait disparu et le programme n'a pas pu se lancer. J'ai donc dû éteindre "bestialement" le portable car plus d'accès non-plus au menu "Démarrer". 

Le problème ayant recommencé, j'ai tenté de faire quelques photos, histoire de donner un aperçu : 
http://serveur1.archive-host.com/membres/images/453291001/0-Screen-Copy/Screen-Info-01.jpg 
http://serveur1.archive-host.com/membres/images/453291001/0-Screen-Copy/Screen-Info-02.jpg 
http://serveur1.archive-host.com/membres/images/453291001/0-Screen-Copy/Screen-Info-03.jpg

Pas sûr que ça puisse faire avancer les choses, mais sait-on jamais... 

A+ 

Celui qui n'essaie pas ne se trompe qu'une seule fois. 
(Véronique Sanson)

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Fanfan-1964 · Answer

Bonjour Gen,

Voilà les liens des deux rapports générés par OTL :

OTL.txt :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijQXyxsib.txt 

Extras.txt :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijlUQuONJ.txt 

Merci encore pour ton aide.

gen-hackman · Answer

desinstalle :

spamfighter
spamanihilator
spybot search end destroy

ces trois logiciels sont pourris

========================================


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge ici :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Fanfan-1964 · Answer

Re,

J'ai bien désinstallé Spybot. Pour les deux autres, je n'avais rien dans "Ajout/Suppression de programmes". Concernant Spamanihilator, j'ai trouvé un dossier dans C:/Program Files mais il n'y avait plus le .exe ; j'ai donc supprimé le dossier. Pour Spamfighter, je n'ai rien trouvé et, lorsque je veux regarder avec Démarrer -> Rechercher, le menu ne s'affiche plus :
http://serveur1.archive-host.com/membres/images/453291001/0-Screen-Copy/Screen-Info-04.jpg

L'analyse avec MBAM n'a rien donné de plus que celle d'hier, même avec le PC déconnecté d'Internet :
http://www.cijoint.fr/cjlink.php?file=cj201011/cij2zwThiR.txt

gen-hackman · Answer

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Fanfan-1964 · Answer

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKU\S-1-5-21-1310194309-1735983199-1697356259-1006\..\URLSearchHook: {fcbf663e-8530-46f8-a880-ac5abe9d2b23} - Reg Error: Key error. File not found
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}:6.0.19 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20     
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 
O2 - BHO: (no name) - {fcbf663e-8530-46f8-a880-ac5abe9d2b23} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {fcbf663e-8530-46f8-a880-ac5abe9d2b23} - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) 
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21) 
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Reg Error: Value error. (Reg Error: Key error.)     

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"MSPY2002"=-
"nwiz"=-
"PHIME2002A"=-
"PHIME2002ASync"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=145

:Files
C:\Documents and Settings\Françoise MARANDIN\Mes documents\Anvsoft 
 
:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Fanfan-1964 · Answer

Voilà le rapport OTL :

All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-1310194309-1735983199-1697356259-1006\Software\Microsoft\Internet Explorer\URLSearchHooks\{fcbf663e-8530-46f8-a880-ac5abe9d2b23} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fcbf663e-8530-46f8-a880-ac5abe9d2b23}\ not found.
Prefs.js: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}:6.0.19 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 removed from extensions.enabledItems
Prefs.js: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21 removed from extensions.enabledItems
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{fcbf663e-8530-46f8-a880-ac5abe9d2b23}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fcbf663e-8530-46f8-a880-ac5abe9d2b23}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{fcbf663e-8530-46f8-a880-ac5abe9d2b23} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fcbf663e-8530-46f8-a880-ac5abe9d2b23}\ not found.
Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}\ not found.
Starting removal of ActiveX control {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7}
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7}\DownloadInformation\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\IMJPMIG8.1 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSPY2002 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\nwiz deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\PHIME2002A deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\PHIME2002ASync deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\"NoDriveTypeAutoRun"|145 /E : value set successfully!
========== FILES ==========
C:\Documents and Settings\Françoise MARANDIN\Mes documents\Anvsoft\Photo Flash Maker Free Version	emp folder moved successfully.
C:\Documents and Settings\Françoise MARANDIN\Mes documents\Anvsoft\Photo Flash Maker Free Version\output folder moved successfully.
C:\Documents and Settings\Françoise MARANDIN\Mes documents\Anvsoft\Photo Flash Maker Free Version folder moved successfully.
C:\Documents and Settings\Françoise MARANDIN\Mes documents\Anvsoft folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 469 bytes
 
User: All Users
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
 
User: LocalService
->Temp folder emptied: 547 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Françoise MARANDIN
->Temp folder emptied: 4364758 bytes
->Temporary Internet Files folder emptied: 5177653 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 59764352 bytes
->Flash cache emptied: 5486 bytes
 
User: Administrateur
->Temporary Internet Files folder emptied: 0 bytes
 
User: FRANÃO~1
 
User: Franþoise MARANDIN
 
User: Administrateur.ACER-D18848DB56
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 469 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 18039808 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 216698 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 48046224 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 129,00 mb
 
 
OTL by OldTimer - Version 3.2.17.2 log created on 11052010_161946

Files\Folders moved on Reboot...
C:\Documents and Settings\Françoise MARANDIN\Local Settings\Application Data\Mozilla\Firefox\Profiles\vd2mcytt.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Françoise MARANDIN\Local Settings\Application Data\Mozilla\Firefox\Profiles\vd2mcytt.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Françoise MARANDIN\Local Settings\Application Data\Mozilla\Firefox\Profiles\vd2mcytt.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Françoise MARANDIN\Local Settings\Application Data\Mozilla\Firefox\Profiles\vd2mcytt.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Françoise MARANDIN\Local Settings\Application Data\Mozilla\Firefox\Profiles\vd2mcytt.default\XUL.mfl moved successfully.
C:\Documents and Settings\Françoise MARANDIN\Local Settings\Application Data\Mozilla\Firefox\Profiles\vd2mcytt.default\urlclassifier3.sqlite moved successfully.

Registry entries deleted on Reboot...

gen-hackman · Answer

où en sont tes soucis avec ce pc ?

Fanfan-1964 · Answer

Je viens de faire un ou deux essais ; malheureusement, c'est toujours la même chose : en mode normal, Firefox ne veut toujours pas ouvrir de nouvelle fenêtre ou encore le menu "démarrer -> rechercher" a toujours la même apparence bizarre. J'aurais bien aimé éviter un formatage, mais je commence à avoir des craintes... 

Edit : 18h45
Je confirme ce que j'ai dit plus haut : je viens d'avoir un nouveau plantage et j'ai de nouveau été obligée d'arrêter brutalement le PC... aperçu des dégâts :
http://serveur1.archive-host.com/membres/images/453291001/0-Screen-Copy/Screen-Info-05.jpg

Celui qui n'essaie pas ne se trompe qu'une seule fois. 
(Véronique Sanson)

gen-hackman · Answer

depuis quel moment ton mode rechercher est comme ca ? depuis l infection ou le passage d'un outil ?

Fanfan-1964 · Answer

Je ne saurais pas te dire car je ne m'en sers pas toutes les cinq minutes... je m'en suis rendu compte lorsque j'ai voulu supprimer Spamfighter, que je ne trouvais pas à partir du menu "Ajout/Suppression de programmes" (vers midi). Mais bon, vu la tournure que ça a, ça pourrait bien être depuis l'infection...

gen-hackman · Answer

https://www.luanagames.com/index.fr.html

regarde ici je crois qu'une solution a ete trouvée :)

Fanfan-1964 · Answer

L'ennui, c'est que mon explorateur de fichiers était déjà configuré sur le mode "Afficher les tâches habituelle des dossiers"... (Pour ce qui est d'une restauration, c'est la première chose par quoi j'ai commencé).

gen-hackman · Answer

heu...tu as fait une restauration ?

Fanfan-1964 · Answer

J'avais essayé, au tout début (avant de contacter le forum), mais ça n'avait pas résolu le problème... J'ai dû essayer deux dates et, les deux fois, j'ai eu comme réponse "Aucun changement n'a été effectué"...

Celui qui n'essaie pas ne se trompe qu'une seule fois. 
(Véronique Sanson)

gen-hackman · Answer

essaie ceci :

ouvre une fenetre rechercher , onglet affichage , volet d'exploration , Rechercher

Fanfan-1964 · Answer

Malheureusement, c'est déjà ce que j'ai dans la configuration de mon explorateur. Si je change pour "Affichage -> Volet d'exploration -> Dossiers", je vois bien la colonne de gauche mais, si je remets "Affichage -> Volet d'exploration -> Rechercher", je retrouve ma colonne bleue comme au début.

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

Fanfan-1964 · Answer

J'ai encore eu un plantage : à un moment, j'ai eu l'impression que les fichiers scannés tournaient en boucle et j'ai fini par avoir un message "mémoire insuffisante pour terminer l'opération"... Ensuite, j'avais un message du style "Win.32 ne peut pas exécuter ce programme" (je ne sais plus la formulation exacte). 

Est-ce qu'il y aurait un réglage mémoire à faire avant de lancer le programme, pour être sûr qu'il ait assez de ressources ? 

J'ai modifié quelques réglages au niveau de la mémoire. Je refais une tentative.

Celui qui n'essaie pas ne se trompe qu'une seule fois. 
(Véronique Sanson)

Fanfan-1964 · Answer

Suite à mes réglages, il y a du mieux mais je ne suis pas sure qu'il y ait tout car j'ai encore eu un message d'avertissement :
C\Program Files\List_Kill'em\swreg.exe
Ressources système insuffisantes pour terminer le service demandé

Je poste tout-de même les résultats :

Fichier List'em.txt :
http://www.cijoint.fr/cjlink.php?file=cj201011/cij5Hbe5O1.txt 

Fichier More.txt :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijURxFjpO.txt

gen-hackman · Answer

ok j ai compris

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Fanfan-1964 · Answer

Quand je lance l'installation de Combofix (renommé), j'ai le message suivant :
Windows ne peut pas ouvrir le fichier nircmd.cfxxe...

gen-hackman · Answer

essaie en mode sans echec avec prise en charge reseau

Fanfan-1964 · Answer

J'ai des difficultés pour désactiver totalement Antivir et Ad-Aware :

Après pas mal d'essais, je suis passée par msconfig et j'ai décoché
- AAW tray
- avgnt
- avira (deux lignes)
- lavasoft
- pare-feu windows

Or, si je démarre Combofix, j'ai encore un message comme quoi il trouve deux programmes actifs :
- Antivir desktop
- Ad-watch live

Je ne vois vraiment pas où les désactiver : je n'ai pas d'icônes correspondantes dans ma barre des tâches...

gen-hackman · Answer

tu n'as pas un parapluie rouge dans la barre des taches ?

Fanfan-1964 · Answer

En mode sans échec, je ne vois plus que l'horloge sur la barre des tâches.
Je pensais que ce que j'avais désactivé via msconfig suffisait mais j'ai toujours un avertissement pour Combofix...

gen-hackman · Answer

ok lol passe outre l'aveertissement

Fanfan-1964 · Answer

OK !

Fanfan-1964 · Answer

En mode sans échec, le portable ne voit pas "Neuf Télécom" : j'ai un message "votre PC ne semble pas connecté à Internet"... 
Du coup, je redémarre en mode normal.

Celui qui n'essaie pas ne se trompe qu'une seule fois. 
(Véronique Sanson)

gen-hackman · Answer

sans echec avec prise en charge reseau

Fanfan-1964 · Answer

Oui, oui... c'était bien ce que j'avais mis : le PC voyait la Livebox qui est la connexion que j'ai à la maison de campagne mais pas Neuf Télécom.

Par contre, après tout ça, je n'ai même pas de fichier C:\Combofix.txt ; en fouinant un peu partout (vu que mon menu "Rechercher" ne fonctionne toujours pas), le seul doc de ce nom que j'ai trouvé se trouve dans mon répertoire C:\Françoise et c'est très succint :
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.1022.654 [GMT 1:00]
Lancé depuis: C:\Documents and Settings\Françoise MARANDIN\Bureau\Françoise.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Lavasoft Ad-Watch Live! Antivirus *On-access scanning enabled* (Updated) {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}

Après l'exécution de Combofix, le PC a redémarré subitement et a effectué un contrôle des disques, qui m'a donné le message suivant :
Le système a rcupéré une erreur sérieuse
BBcode : 100008e     BCP1 : 80000004     BCP2 : 80565C5B     BCP3 : B8BE58D4     BCP4 : 00000000     OSver : 5_1_2600     SP : 380     Product : 768_1

gen-hackman · Answer

ok

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Fanfan-1964 · Answer

J'ai encore eu droit à un plantage pendant l'analyse :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijroquO03.jpg 

J'ai donc dû relancer le programme après avoir été obligée d'arrêter le PC de force.

Premier rapport (avant plantage) :
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.1.1 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Françoise MARANDIN (Administrateurs) 
Update on 04/11/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 14:13:05 | 07/11/2010

Genuine Intel(R) CPU           T2050  @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Lavasoft Ad-Watch Live! Antivirus  [ Enabled | Updated ]
AV : AntiVir Desktop 10.0.1.52 [ Enabled | (!) Outdated ]

C:\ -> Disque fixe local | 35,06 Go (12,31 Go free) [ACER] | FAT32
D:\ -> Disque fixe local | 35,54 Go (32,52 Go free) [ACERDATA] | FAT32
E:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\sqmnoopt00.sqm 
Quarantined & Deleted !! : C:\sqmdata00.sqm 
Quarantined & Deleted !! : C:\sqmnoopt01.sqm 
Quarantined & Deleted !! : C:\sqmdata01.sqm 
Quarantined & Deleted !! : C:\sqmnoopt02.sqm 
Quarantined & Deleted !! : C:\sqmdata02.sqm 
Quarantined & Deleted !! : C:\sqmnoopt03.sqm 
Quarantined & Deleted !! : C:\sqmdata03.sqm 
Quarantined & Deleted !! : C:\sqmnoopt04.sqm 
Quarantined & Deleted !! : C:\sqmdata04.sqm 
Quarantined & Deleted !! : C:\sqmnoopt05.sqm 
Quarantined & Deleted !! : C:\sqmdata05.sqm 
Quarantined & Deleted !! : C:\sqmnoopt06.sqm 
Quarantined & Deleted !! : C:\sqmdata06.sqm 
Quarantined & Deleted !! : C:\sqmnoopt07.sqm 
Quarantined & Deleted !! : C:\sqmdata07.sqm 
Quarantined & Deleted !! : C:\sqmnoopt08.sqm 
Quarantined & Deleted !! : C:\sqmdata08.sqm 
Quarantined & Deleted !! : C:\sqmnoopt09.sqm 
Quarantined & Deleted !! : C:\sqmdata09.sqm 
Quarantined & Deleted !! : C:\sqmnoopt10.sqm 
Quarantined & Deleted !! : C:\sqmdata10.sqm 
Quarantined & Deleted !! : C:\sqmnoopt11.sqm 
Quarantined & Deleted !! : C:\sqmdata11.sqm 
Quarantined & Deleted !! : C:\sqmnoopt12.sqm 
Quarantined & Deleted !! : C:\sqmdata12.sqm 
Quarantined & Deleted !! : C:\sqmnoopt13.sqm 
Quarantined & Deleted !! : C:\sqmdata13.sqm 
Quarantined & Deleted !! : C:\sqmnoopt14.sqm 
Quarantined & Deleted !! : C:\sqmdata14.sqm 
Quarantined & Deleted !! : C:\sqmnoopt15.sqm 
Quarantined & Deleted !! : C:\sqmdata15.sqm 
Quarantined & Deleted !! : C:\sqmnoopt16.sqm 
Quarantined & Deleted !! : C:\sqmdata16.sqm 
Quarantined & Deleted !! : C:\sqmnoopt17.sqm 
Quarantined & Deleted !! : C:\sqmdata17.sqm 
Quarantined & Deleted !! : C:\sqmnoopt18.sqm 
Quarantined & Deleted !! : C:\sqmdata18.sqm 
Quarantined & Deleted !! : C:\sqmnoopt19.sqm 
Quarantined & Deleted !! : C:\sqmdata19.sqm 
 
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
Quarantined & Deleted !! : C:\Documents and Settings\Françoise MARANDIN\LOCAL Settings\Temp\Perflib_Perfdata_f1c.dat 
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives  

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Second rapport :
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.1.1 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Françoise MARANDIN (Administrateurs) 
Update on 04/11/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 14:42:23 | 07/11/2010

Genuine Intel(R) CPU           T2050  @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : Lavasoft Ad-Watch Live! Antivirus  [ Enabled | Updated ]
AV : AntiVir Desktop 10.0.1.52 [ Enabled | (!) Outdated ]

C:\ -> Disque fixe local | 35,06 Go (12,26 Go free) [ACER] | FAT32
D:\ -> Disque fixe local | 35,54 Go (32,52 Go free) [ACERDATA] | FAT32
E:\ -> Disque CD-ROM

¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}  
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\NPF  
Deleted : HKLM\SYSTEM\ControlSet002\Services\NPF  

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	=      	1 () 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

essaie avec le cdlive de drWeb

http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html

Fanfan-1964 · Answer

Coucou, désolée pour le délai à répondre mais d'autres soucis viennent se greffer : depuis deux jours, je n'ai plus ni téléphone, ni Internet (Neuf Télécom est en rade !...) ; je suis donc venue poster chez mes voisins...

J'ai fait une désinfection avec Dr. Web : j'ai d'abord utilisé la fonction "cure" ; les fichiers suspects étant toujours là, j'ai donc utilisé l'option "delete".

Vu que je ne peux pas me connecter, je ne sais pas où en est Firefox ; par contre, mon menu "Démarrer" a toujours la même apparence...

gen-hackman · Answer

tu n'es pas la premiere personne à qui ca arrive , j'trouvé des solutions mais apparement elles ne semblent pas fonctionner.....

Virus ou malware en vue ?... (Prob. Firefox)

40 réponses

Votre réponse

Discussions similaires

Newsletters