aide à la suppression du spyware GOMEO Résolu

Question

Bonjour, 
un ami m'a demandé de l'aider pour supprimer la redirection vers GOMEO ou un autre page.
Après lecture des différents forums, la solution n'est pas facile, c'est pourquoi je sollicite votre aide. (problème avec la config windows XP Pro/IE8)

Merci pour votre assistance.

J' ai lancé ADD-remover 
voici le rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/12/10 à 10:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 16:23:28 le 20/12/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
USER@AZURSALON ( ) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Documents and Settings\USER\Menu Démarrer\Programmes\Ask Search Assistant
Dossier trouvé: C:\Program Files\Ask Search Assistant
Dossier trouvé: C:\Documents and Settings\USER\Local Settings\Application Data\Conduit
Dossier trouvé: C:\Program Files\Conduit
Dossier trouvé: C:\Documents and Settings\USER\Local Settings\Application Data\ConduitEngine
Dossier trouvé: C:\Program Files\ConduitEngine
Dossier trouvé: C:\Program Files\Crawler
Dossier trouvé: C:\Documents and Settings\USER\Application Data\pdfforge
Dossier trouvé: C:\Program Files\pdfforge Toolbar
Dossier trouvé: C:\Documents and Settings\USER\Application Data\PriceGong
Dossier trouvé: C:\Documents and Settings\USER\Application Data\Search Settings
Dossier trouvé: C:\Program Files\Search Settings

Clé trouvée: HKLM\Software\Classes\CLSID\{20E47D0F-D58A-420B-A6DC-88EFAA4F30C8}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{20E47D0F-D58A-420B-A6DC-88EFAA4F30C8}
Clé trouvée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé trouvée: HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
Clé trouvée: HKLM\Software\Classes\AppID\{E142D053-7023-4B33-AF22-91F14202142D}
Clé trouvée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé trouvée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé trouvée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2542115
Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKLM\Software\conduitEngine
Clé trouvée: HKLM\Software\pdfforge
Clé trouvée: HKLM\Software\Search Settings
Clé trouvée: HKCU\Software\AskSearchAsst
Clé trouvée: HKCU\Software\Conduit
Clé trouvée: HKCU\Software\conduitEngine
Clé trouvée: HKCU\Software\PriceGong
Clé trouvée: HKCU\Software\Search Settings
Clé trouvée: HKCU\Software\AppDataLow\Software\pdfforge
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Crawler Toolbar
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Ask Search Assistant
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Crawler Toolbar
Clé trouvée: HKLM\Software\Classes\Installer\Products\79CAA1B036589D14EA74856E2A220F1E
Clé trouvée: HKLM\Software\Classes\Installer\Products\A6EB8FE4C9986914497E92C7F5A702E3
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\79CAA1B036589D14EA74856E2A220F1E
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A6EB8FE4C9986914497E92C7F5A702E3
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7AF71A72-2AF6-40F4-8505-6CDC787A8CF4}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AskSearchAsst.exe
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
Clé trouvée: HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder

Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Valeur trouvée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{4B3803EA-5230-4DC3-A7FC-33638F3D3542}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=61005
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Show_ToolBar: yes
Start Page: hxxp://orange.fr/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
SearchAssistant: hxxp://www.crawler.com/search/ie.aspx?tb_id=61005
Search bar: hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 20/12/2010 (7018 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 20/12/2010 (1230 Octet(s)) 

Fin à: 16:23:58, 20/12/2010 
 
============== E.O.F ============== 


Configuration: Windows XP / Safari 534.10

verni29 · Answer

Bonjour, 

1/ Relance AD-Remover et choisis l'option nettoyage.

2/ Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.scr  pour le lancer. 
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
msconfig  
activex
/md5start  
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

pimprenelle27 · Answer

Bonjour,

Nettoyage:

/!\ Ferme toutes tes applications ouvertes. /!\

&#x25B6; Double-clique sur l'icône Ad-remover située sur ton Bureau.

&#x25B6; Sur la page, clique sur le bouton « Nettoyer »

&#x25B6; Confirme l'opération

&#x25B6; Laisse travailler l'outil.

&#x25B6; Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report.

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Tuto



Ensuite  : 

Bonjour,


Nous allons faire un petit diagnostic du PC pour cela :


==> Télécharge ZHPDiag (de Nicolas Coolman)


==> si ça ne marche pas, essaye de la télécharger ici

==> Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

==> Lance ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

==> Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

==> Clique sur l'appareil photo où disquette et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt

==> Clique sur Ouvrir.

==> Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

==> Copie ce lien dans ta réponse.

hidden85 · Answer

Merci pour votre célérité.
Voici le rapport de nettoyage de AD-R :

http://www.cijoint.fr/cjlink.php?file=cj201012/cijkd6jmKT.txt

verni29 · Answer

Hidden85, 

Il y a un souci actuellement avec ce site.
Impossible de visualiser ton lien.

Poste le rapport d'AD-Remover ( copier/coller ) dans ta prochaine réponse.

A+

hidden85 · Answer

Beaucoup de mal pour accéder à cijoint, mais voici le second rapport: de ZHPdiag : 

http://www.cijoint.fr/cjlink.php?file=cj201012/cijKEscC5F.txt

Merci pour vos réponses

hidden85 · Answer

Voici le rapport AD-R : 


======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/12/10 à 10:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:11:18 le 20/12/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
USER@AZURSALON ( ) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Documents and Settings\USER\Menu Démarrer\Programmes\Ask Search Assistant
Dossier supprimé: C:\Program Files\Ask Search Assistant
Dossier supprimé: C:\Documents and Settings\USER\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Documents and Settings\USER\Local Settings\Application Data\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Program Files\Crawler
Dossier supprimé: C:\Documents and Settings\USER\Application Data\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Documents and Settings\USER\Application Data\PriceGong
Dossier supprimé: C:\Documents and Settings\USER\Application Data\Search Settings
Dossier supprimé: C:\Program Files\Search Settings

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{20E47D0F-D58A-420B-A6DC-88EFAA4F30C8}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{20E47D0F-D58A-420B-A6DC-88EFAA4F30C8}
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
Clé supprimée: HKLM\Software\Classes\AppID\{E142D053-7023-4B33-AF22-91F14202142D}
Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKCU\Software\AskSearchAsst
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\conduitEngine
Clé supprimée: HKCU\Software\PriceGong
Clé supprimée: HKCU\Software\Search Settings
Clé supprimée: HKCU\Software\AppDataLow\Software\pdfforge
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Crawler Toolbar
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Ask Search Assistant
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Crawler Toolbar
Clé supprimée: HKLM\Software\Classes\Installer\Products\79CAA1B036589D14EA74856E2A220F1E
Clé supprimée: HKLM\Software\Classes\Installer\Products\A6EB8FE4C9986914497E92C7F5A702E3
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\79CAA1B036589D14EA74856E2A220F1E
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A6EB8FE4C9986914497E92C7F5A702E3
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7AF71A72-2AF6-40F4-8505-6CDC787A8CF4}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0B1AAC97-8563-41D9-AE47-58E6A222F0E1}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4EF8BE6A-899C-4196-94E7-297C5F7A203E}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AskSearchAsst.exe
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
Clé supprimée: HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{4B3803EA-5230-4DC3-A7FC-33638F3D3542}


============== SCAN ADDITIONNEL ==============

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 94 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 20/12/2010 (1299 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 20/12/2010 (7018 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 20/12/2010 (7074 Octet(s)) 

Fin à: 17:12:42, 20/12/2010 
 
============== E.O.F ==============

verni29 · Answer

Hidden85, 

Je vois que tu as choisi ZHP.
je connais cet outil mais ne l'utilises pas.

Je laisse la place à pimprenelle.

Salut.

Bonne continuation avec elle.

hidden85 · Answer

Merci verni29 pour ta participation.
J'ai choisi la méthode ZHP car dans les forums, je n'ai vu que celle-ci.
La tienne m'était inconnue.
Salut

hidden85 · Answer

Bonjour Pimprenelle27.

Electricien 69 · Answer

bonjour, 
passe à OTL, les messages de Verni29 et Pimprenelle27 se sont croisés  :-) 

un petit coucou au passage à vous deux  ;-) 

si tu n'arrives pas à héberger le rapport sur Cijoint, utilise ce site ou un autre : 
http://ww38.toofiles.com/fr/documents-upload.html 

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

hidden85 · Answer

Bonjour et merci Electricien69

Voici les fichiers réalisés par OTL :

OTL : http://www.cijoint.fr/cjlink.php?file=cj201012/cijBm9elBS.txt

Extras : http://www.cijoint.fr/cjlink.php?file=cj201012/cijuPcagPB.txt

Electricien 69 · Answer

je pense que finalement, personne prend la suite :-(

on va le faire autrement  :-)

repasse un autre zhpdiag, enregistre son rapport sur ton bureau, héberge le sur Cijoint ou toofiles, colle le lien ici  :-)

hidden85 · Answer

Merci de prendre la suite et voici le lien du fichier ZHPdiag : 

http://www.cijoint.fr/cjlink.php?file=cj201012/cijtvwOMOq.txt

Electricien 69 · Answer

je prends la suite, mais je file bosser, je reposte plus tard  ;-)


*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 
	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


@ ++

pimprenelle27 · Answer

Bonjour à vous trois 

Merci verni29  et Electricien 69.



Alors il te reste comme infection : 

Infection Diverse (Trojan.Inject)
Infection BT (Trojan.Tracur)
Infection Diverse
Infection Diverse (ShoppingReport.Adw)
Infection Vundo (Trojan.Vundo)
Infection Diverse (Troj/Delf-JJ)


En plus il fait du Peer to Peer vecteur de virus.

Et Logiciel non à jour.


Avec tout ça cela ne m'étonne pas que son PC soit infecté.


1ère chose à faire  : 


Supprimer Spybot Search & Destroy et Crawler Spyware Terminator, ils ne servent à rien et prennent de la place pour rien.


2ème chose à faire : 


Supprimer les carcks de l'ordi vecteurs de virus : 

C:\Documents and Settings\USER\Mes documents\Telechargements\Keygen Ashampoo\Keygen Ashampoo Burning Studio 9.12.exe    

C:\Documents and Settings\USER\Mes documents\Telechargements\Keygen Ashampoo\Keygen Ashampoo Burning Studio 9.xx.exe

C:\Documents and Settings\USER\Mes documents\Telechargements\Keygen Ashampoo\Keygen Ashampoo Products 2009.exe 

C:\Documents and Settings\USER\Mes documents\Telechargements\Keygen Ashampoo\Keygen Ashampoo Burning Studio 9.12.exe

C:\Documents and Settings\USER\Mes documents\Telechargements\Keygen Ashampoo\Keygen Ashampoo Burning Studio 9.xx.exe

C:\Documents and Settings\USER\Mes documents\Telechargements\Keygen Ashampoo\Keygen Ashampoo Products 2009.exe



3ème chose à faire  : 




Utilise le raccourci sur Bureau  'MBRCheck' pour obtenir un scan complet et poste le moi.

hidden85 · Answer

Supprimé Spybot,  dossier crack et Crawler a été supprimé par AD-R :

rapport MBRcheck :

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000003c

Kernel Drivers (total 128):
  0x804D7000 \WINDOWS\system32
toskrnl.exe
  0x806FF000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF75A7000 ACPI.sys
  0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF7596000 pci.sys
  0xF75F7000 isapnp.sys
  0xF7A4F000 pciide.sys
  0xF7707000 \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
  0xF7607000 MountMgr.sys
  0xF74D7000 ftdisk.sys
  0xF798B000 dmload.sys
  0xF74B1000 dmio.sys
  0xF770F000 PartMgr.sys
  0xF7617000 sfsync02.sys
  0xF7627000 VolSnap.sys
  0xF7499000 atapi.sys
  0xF7637000 disk.sys
  0xF7647000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7479000 fltmgr.sys
  0xF7467000 sr.sys
  0xF7657000 PxHelp20.sys
  0xF7450000 KSecDD.sys
  0xF743D000 WudfPf.sys
  0xF7B52000 Ntfs.sys
  0xF7410000 NDIS.sys
  0xF7883000 sfvfs02.sys
  0xF7717000 sfhlp02.sys
  0xF7871000 sfdrv01.sys
  0xF7857000 Mup.sys
  0xBA17C000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xB8BDD000 \SystemRoot\system32\DRIVERS
v4_mini.sys
  0xB8BC9000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xB8BA1000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xB8B8C000 \SystemRoot\system32\DRIVERS\Rtenicxp.sys
  0xF7817000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xB8B68000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xB8B54000 \SystemRoot\system32\DRIVERS\parport.sys
  0xBA16C000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0xB9DA9000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xB8B43000 \SystemRoot\system32\DRIVERS\serial.sys
  0xBA7D0000 \SystemRoot\system32\DRIVERS\serenum.sys
  0xF79B7000 \SystemRoot\system32\DRIVERS\ASACPI.sys
  0xBA15C000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xBA7C4000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS
  0xBA14C000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xBA13C000 \SystemRoot\system32\DRIVERSedbook.sys
  0xB8B20000 \SystemRoot\system32\DRIVERS\ks.sys
  0xB9D91000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xBA706000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF76D7000 \SystemRoot\system32\DRIVERSasl2tp.sys
  0xBA7B4000 \SystemRoot\system32\DRIVERS
distapi.sys
  0xB8B09000 \SystemRoot\system32\DRIVERS
diswan.sys
  0xF76E7000 \SystemRoot\system32\DRIVERSaspppoe.sys
  0xF76F7000 \SystemRoot\system32\DRIVERSaspptp.sys
  0xB9D71000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xB8AF8000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF7586000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF774F000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF775F000 \SystemRoot\system32\DRIVERSaspti.sys
  0xB8AC8000 \SystemRoot\system32\DRIVERSdpdr.sys
  0xF7576000 \SystemRoot\system32\DRIVERS	ermdd.sys
  0xF7777000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF79D1000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xB8A6A000 \SystemRoot\system32\DRIVERS\update.sys
  0xB9DE1000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF7566000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xB6919000 \SystemRoot\system32\drivers\ADIHdAud.sys
  0xB68F5000 \SystemRoot\system32\drivers\portcls.sys
  0xF7546000 \SystemRoot\system32\drivers\drmk.sys
  0xB68DE000 \SystemRoot\system32\drivers\AEAudio.sys
  0xB687E000 \SystemRoot\system32\drivers\Senfilt.sys
  0xF7536000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF79E5000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xF79EB000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7AAC000 \SystemRoot\System32\Drivers\Null.SYS
  0xF79EF000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF77BF000 \SystemRoot\System32\drivers\vga.sys
  0xF79F3000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79F7000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF77CF000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF77DF000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xBA7FC000 \SystemRoot\system32\DRIVERSasacd.sys
  0xB684B000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xB67F2000 \SystemRoot\system32\DRIVERS	cpip.sys
  0xF7526000 \SystemRoot\System32\Drivers\aswTdi.SYS
  0xB67A4000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF7516000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xB66DC000 \SystemRoot\system32\DRIVERS
etbt.sys
  0xB66BA000 \SystemRoot\System32\drivers\afd.sys
  0xF7506000 \SystemRoot\system32\DRIVERS
etbios.sys
  0xB668F000 \SystemRoot\system32\DRIVERSdbss.sys
  0xB661F000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF74F6000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB65F8000 \SystemRoot\System32\Drivers\aswSP.SYS
  0xF77FF000 \SystemRoot\System32\Drivers\Aavmker4.SYS
  0xF781F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xB8A62000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xBA780000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xB9DA1000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xB8A5E000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xBA770000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB9D79000 \SystemRoot\system32\DRIVERS\USBSTOR.SYS
  0xB65B8000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF79FD000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xB8A42000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7767000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7A9D000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32
v4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB5D9B000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
  0xB5BB2000 \SystemRoot\system32\DRIVERS\EAPPkt.sys
  0xB5CCF000 \SystemRoot\system32\DRIVERS
disuio.sys
  0xB52AB000 \SystemRoot\System32\Drivers\aswMon2.SYS
  0xB50DE000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB5342000 \SystemRoot\system32\drivers\sysaudio.sys
  0xB50B1000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF79A9000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB50A1000 \SystemRoot\System32\Drivers\Aspi32.SYS
  0xB4DF0000 \SystemRoot\system32\DRIVERS\secdrv.sys
  0xB4B30000 \SystemRoot\system32\DRIVERS\srv.sys
  0xF7807000 \SystemRoot\system32\DRIVERS\LVPr2Mon.sys
  0xB9D99000 \SystemRoot\System32\Drivers\aswRdr.SYS
  0xB41FA000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C910000 \WINDOWS\system32
tdll.dll

Processes (total 45):
       0 System Idle Process
       4 System
     584 C:\WINDOWS\system32\smss.exe
     632 csrss.exe
     656 C:\WINDOWS\system32\winlogon.exe
     700 C:\WINDOWS\system32\services.exe
     712 C:\WINDOWS\system32\lsass.exe
     884 C:\WINDOWS\system32\svchost.exe
     952 svchost.exe
    1048 C:\Program Files\Windows Defender\MsMpEng.exe
    1104 C:\WINDOWS\system32\svchost.exe
    1152 C:\WINDOWS\system32\svchost.exe
    1312 svchost.exe
    1444 svchost.exe
    1560 C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
    1992 C:\WINDOWS\system32\spoolsv.exe
     208 svchost.exe
     252 C:\Program Files\Fichiers communs\EPSON\EBAPI\eEBSvc.exe
     464 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
     488 C:\Program Files\Bonjour\mDNSResponder.exe
     992 C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
    1276 C:\Program Files\Java\jre6\bin\jqs.exe
    1308 C:\Program Files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe
    1320 C:\Program Files\Fichiers communs\logishrd\LVMVFM\LVPrcSrv.exe
    1428 C:\Program Files\Google\Update\1.2.183.39\GoogleCrashHandler.exe
    1076 C:\WINDOWS\system32
vsvc32.exe
    1620 C:\WINDOWS\system32\svchost.exe
    2300 C:\WINDOWS\system32\wuauclt.exe
    2820 C:\WINDOWS\explorer.exe
    2968 C:\Program Files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe
    3044 C:\WINDOWS\system32\wbem\wmiapsrv.exe
    3328 wmiprvse.exe
    3400 alg.exe
    4064 C:\Program Files\Fichiers communs\logishrd\LComMgr\Communications_Helper.exe
     532 C:\WINDOWS\system32\svchost.exe
     876 C:\Program Files\Alwil Software\Avast5\AvastUI.exe
     892 C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
    1672 C:\PROGRA~1\EPSONS~1\EVENTM~1\EEventManager.exe
    1172 C:\Program Files\Adobe\Reader 9.0\Readereader_sl.exe
    2080 C:\Program Files\iTunes\iTunesHelper.exe
    2240 C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    2264 C:\Program Files\Skype\Phone\Skype.exe
    2744 C:\Program Files\iPod\bin\iPodService.exe
    3996 C:\Program Files\Skype\Plugin Manager\skypePM.exe
    2644 C:\Program Files\ZHPDiag\mbrcheck.exe

\.\C: --> \.\PhysicalDrive0 at offset 0x00000000'00007e00  (NTFS)
\.\E: --> \.\PhysicalDrive0 at offset 0x0000002b'f21c4400  (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM3250820AS, Rev: 3.AAE   

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: 8637A6CD1F8DC55758E12C0B860CDE1133CA5719


Done!

hidden85 · Answer

Voici le rapport combofix demandé par Electricien69 si cela peut servir :

http://www.cijoint.fr/cjlink.php?file=cj201012/cijKE4B5Rq.txt

pimprenelle27 · Answer

Ok combofix à déjà supprimé pas mal de choses ensuite  pour le peer to peer : 

&#x25B6; Télécharge FindyKill et enregistre-le sur ton bureau

&#x25B6; Double clic sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement

&#x25B6; Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

&#x25B6; Au menu principal,choisi l option 1 (Recherche)

&#x25B6; Patiente un peu, l'analyse peut durer quelques minutes

&#x25B6; Post le rapport FindyKill.txt

 * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque 

Tuto

hidden85 · Answer

Rapport findykill : 



############################## | FindyKill V5.052 |

# User : USER (Administrateurs) # AZURSALON
# Update on 23/10/2010 by El Desaparecido
# Start at: 17:12:20 | 21/12/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Core(TM)2 CPU          4300  @ 1.80GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83886757 [ Enabled | Updated ]

# C:\ # Disque fixe local # 175,78 Go (135,68 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 57,09 Go (56,19 Go free) [DATA] # NTFS
# F:\ # Disque amovible # 7,66 Go (7,59 Go free) [8_CORSAIR] # NTFS

################## | Eléments infectieux |

C:\WINDOWS\prefetch\WINUPGRO.EXE-2D513C93.pf  

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.052 ! |

Electricien 69 · Answer

ok, je vois que Pimprenelle est de retours  ;-)
pour l'avancer alors  ;-)

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

hidden85 · Answer

Scan MBAM terminé, voici le rapport :


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5366

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/12/2010 18:35:20
mbam-log-2010-12-21 (18-35-20).txt

Type d'examen: Examen complet (C:\|E:\|F:\|)
Elément(s) analysé(s): 246432
Temps écoulé: 38 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 35
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\atrace32.dll (Trojan.Tracur.S) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{01683250-0C3E-41AD-AD6B-FF9D9419AD40} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01683250-0C3E-41AD-AD6B-FF9D9419AD40} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{01683250-0C3E-41AD-AD6B-FF9D9419AD40} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{01683250-0C3E-41AD-AD6B-FF9D9419AD40} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{E6395E05-0C56-4284-CA5F-C60A0533F9A0} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E6395E05-0C56-4284-CA5F-C60A0533F9A0} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E6395E05-0C56-4284-CA5F-C60A0533F9A0} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E6395E05-0C56-4284-CA5F-C60A0533F9A0} (Trojan.Tracur.S) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QuelleCelebriteEtesVous (Malware.Packer.Gen) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALERTER32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALG32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BROWSER32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CRYPTSVC32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DMADMIN32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NLA32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASAUTO32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCLOCATOR32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCSS32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SHAREDACCESS32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SSDPSRV32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_STISVC32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TLNTSVR32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WZCSVC32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmadmin32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nla32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcLocator32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSDPSRV32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr32 (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WZCSVC32 (Trojan.Tracur) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\atrace32.dll (Trojan.Tracur.S) -> Delete on reboot.
c:\WINDOWS\system32\itircl32.dll (Trojan.Tracur.S) -> Quarantined and deleted successfully.
c:\documents and settings\USER\application data\microsoft\quiz quelle celebrite etes-vous\suppression-quellecelebriteetesvous.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Temp\xvid-win32.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\b68312cadb577261f365b6cd851a3d74\b\bint1 (Trojan.Tracur.S) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\pdfforge toolbar\pdfforgetoolbarie.dll.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\program files\pdfforge toolbar\widgihelper.exe.vir (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\documents and settings\localservice\application data\02000000f150b3d71086c.manifest (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\localservice\application data\02000000f150b3d71086o.manifest (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\localservice\application data\02000000f150b3d71086p.manifest (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\localservice\application data\02000000f150b3d71086s.manifest (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\02000000f150b3d71086c.manifest (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\02000000f150b3d71086o.manifest (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\02000000f150b3d71086p.manifest (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\02000000f150b3d71086s.manifest (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\gnuhashes.ini (Trojan.Tracur) -> Quarantined and deleted successfully.

Electricien 69 · Answer

redemarre ton pc,
relance MBAM, vide sa quarantaine, refias une msie à jour et lance un nouveau scan complet, s'il trouve encore des choses, mets tout en quarantaine, poste son rapport  :-)

hidden85 · Answer

Voici le rapport MBAM après mise à jour : 


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5375

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/12/2010 09:41:17
mbam-log-2010-12-22 (09-41-12).txt

Type d'examen: Examen complet (C:\|E:\|F:\|)
Elément(s) analysé(s): 246100
Temps écoulé: 37 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITS32 (Trojan.Tracur) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BROWSER32 (Trojan.Tracur) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CRYPTSVC32 (Trojan.Tracur) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MESSENGER32 (Trojan.Tracur) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RASAUTO32 (Trojan.Tracur) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCSS32 (Trojan.Tracur) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_STISVC32 (Trojan.Tracur) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Electricien 69 · Answer

bonjour,
tu as juste oublié de mettre tout en quarantaine :

No action taken.

hidden85 · Answer

Bonjour,
Ce n'est pas un oubli, mais lorsque je fais afficher les résultats, MBAM affiche les -logs trouvés avec cases cochées pour suppression. Pour le rapport il faut que je l'enregistre et l'édite avec le bloc-notes. Pas de mise en quarantaine malgré les paramètres.
Tout cela depuis la mise à jour (prog + base)

Electricien 69 · Answer

relance MBAM, fais un scan rapide, essaie de mettre tous ce qu'il trouve en quarantaine  :-)

sinon, je trouverai une autre solution  ;-)

hidden85 · Answer

Désolé, à chaque fois MBAM (scan rapide ou minutieux) me propose comme action supprimer la sélection.
Peut-être faut-il le désinstaller et le réinstaller ?

hidden85 · Answer

Voici une copie écran de MBAM.

http://www.cijoint.fr/cjlink.php?file=cj201012/cijoN72bBg.jpg

hidden85 · Answer

@Electricien 69
Question : si c'est pour sauvegarder ces clés, je peux le faire par regedit dans le dossier de quarantaine de MBAM et laisser MBAM les supprimer ?

Electricien 69 · Answer

clique sur Supprimer la selection  :-)

ceci est pour virer juste les clés de registre infectées  :-)

hidden85 · Answer

Nécessaire fait, voici le compte rendu : 

http://www.cijoint.fr/cjlink.php?file=cj201012/cijXAfRE6u.txt

Electricien 69 · Answer

super  ;-)

as tu encore des redirections ?

hidden85 · Answer

Super, pour le moment pas de redirection.
Je n'ai fait que quelques essais, à voir sur la durée.

Electricien 69 · Answer

on finalise la désinfection ?

hidden85 · Answer

ok :-)

Electricien 69 · Answer

ok,

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner


*	pour supprimer les outils de désinfection
:
Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

*	Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :
 
Pour XP :          https://www.commentcamarche.net/faq/5097-virus-system-volume-information 

*	fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

hidden85 · Answer

Tout fait :
CCleaner
Delfix
Restauration
Scan par avast minutieux
RAS

Rapport delfix :

########## DelFix - Nettoyeur d'outils de désinfection ##########
#
# DelFix v6.7 - Rapport créé le 22/12/2010 à 20:58
# Mis à jour le 28/11/10 à 13h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : USER - AZURSALON (Administrateur)
# Exécuté depuis : C:\Documents and Settings\USER\Bureau\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\FyK
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\ComboFix_bis.txt
Supprimé : C:\FyK.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\Ad-Report-SCAN[2].txt
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\USER\Bureau\OTL.scr
Supprimé : C:\Documents and Settings\USER\Bureau\OTL.Txt
Supprimé : C:\Documents and Settings\USER\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\USER\Bureau\Extras.Txt
Supprimé : C:\Documents and Settings\USER\Bureau\MBRCheck_12.21.10_13.26.01.txt
Supprimé : C:\Documents and Settings\USER\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\USER\Bureau\ZHPDiag.exe
Supprimé : C:\Documents and Settings\USER\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\OldTimer Tools
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [2665 octets] ##########


:-)  :-)  :-)

pimprenelle27 · Answer

Bonsoir, 

Avant Malwarebyte's pensez à faire ceci :  



? Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir 

? Double clic sur le raccourci FindyKill sur ton bureau 

? Au menu principal,choisi l option 2 (Suppression) 


/!\ il y aura un redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué" 

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal ! 

? ensuite post le rapport FindyKill.txt 

 * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque 
 * Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides 


Tuto 


A lire :


le danger des cracks 

bagle/beagle 

Helper - Contributeur sécurité

Electricien 69 · Answer

bonjour,
crée un nouveau point de restauration système, ça peut servire  ;-)

as tu d'autres soucis ?

hidden85 · Answer

@Electricien 69

Pas d'autres soucis. Tout fonctionne, plus de lenteurs.

@Pimprenelle27
Voici le rapport Findykill qui fut long à sortir  et envoyé :


############################## | FindyKill V5.052 |

# User : USER (Administrateurs) # AZURSALON
# Update on 23/10/2010 by El Desaparecido
# Start at: 08:05:04 | 23/12/2010
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Core(TM)2 CPU          4300  @ 1.80GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83886757 [ Enabled | Updated ]

# C:\ # Disque fixe local # 175,78 Go (137,02 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 57,09 Go (56,19 Go free) [DATA] # NTFS

################## | Eléments infectieux |

Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-2D513C93.pf 

################## | CRC32 ... |


################## | Registre | 


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Fichiers corrompus  |

... OK !  

################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_AZURSALON.zip : http://www.teamxscript.org/Upload.php 
Merci pour votre contribution . 

################## | ! Fin du rapport # FindyKill V5.052 ! |


Question : dois-je mettre "résolu" pour ce post ?

Electricien 69 · Answer

désinstalle FYK,
crée un nouveau point de restauration système, ça peut servire  ;-)

sur ce, bonne fête de fin d'année et bon surf  ;-)

hidden85 · Answer

@Pimprenelle27 et Electricien69,
merci pour votre aide , je vous souhaite de bonnes fêtes de fin d'année et un
:-) Joyeux Noël :-)

Electricien 69 · Answer

bonjour,
tu as juste oublié verni29  ;-)

bonne fête  ;-)

hidden85 · Answer

Excuse moi un oubli, aprés 3 pages d'échanges/
Il est évident qu'il est inclu dans mes remerciements ainsi dans mes souhaits.
Un joyeux Noël aussi à toute l'équipe de commentcamarche.

Electricien 69 · Answer

;-)

Aide à la suppression du spyware GOMEO - Page 2

Discussions similaires

Newsletters