Pub intempstive Résolu/Fermé

Question

Bonjour, 
Voila je crois avoir chopé un virus en voulant installer un logiciel gratuit et depuis j'ai des pub qui se lance toute seul sur internet explorer alors que je navigue avec firefox et parfois sur firefox lorsque jouvre un onglet sa ouvre une pub.
J'ai avg anti virus qui est entrain de faire une analyse mais je pense pas que sa va resoudre mon probleme.
Que dois-je faire? merci d'avance!



Configuration: Windows Vista / Firefox 3.6.13

Valuu · Answer

Bonjour bonjour !

On va voir ce qu'il y a ;)

Utilise ce logiciel de diagnostic : 

    * Télécharge ZHPDiag (de Nicolas Coolman) 
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Anikiki · Answer

Merci beaucoup
voila le lien http://www.cijoint.fr/cjlink.php?file=cj201101/cijFDl2RKK.txt

Valuu · Answer

Hello, 
Une infection Navipromo : 

/!\ utilisateur de vista et seven, [https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac désactive l'UAC./!\

    * Télécharge sur le bureau Navilog1  
   * Si ton antivirus s'affole , le désactiver 
   * Sous Vista : Clic-droit sur le raccourci Navilog1 présent sur le bureau et choisis "Exécuter en tant qu'administrateur" 
   * Sous XP : double-clic dessus pour le lancer 
   * Taper 1 pour Français 
   * Appuyer sur une touche jusqu'à' arriver aux options 
   * Choisir Recherche/Désinfection automatique ( = taper 1 ) 
   * Poste le rapport obtenu dans ta prochaine réponse (C:\fixnavi.txt)

Anikiki · Answer

merci encore voila le rapport
http://www.cijoint.fr/cjlink.php?file=cj201101/cijacNJCaq.txt

Valuu · Answer

Re,

Oups autant pour moi je me suis précipité, le logiciel n'a rien donné, normal.

    * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    * Clique sur "Recherche"
    * Laisse travailler l'outil
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : Tutoriel "Recherche"

Anikiki · Answer

J'utilise aucune source de données externe je le fait quand mm?

Valuu · Answer

Oui si tu n'a aucune clé USB, MP3, disque dur, tu fais sans ;) ça t'évitera de propager l'infection si tu emprunte un support amovible à quelqu'un.

Extrait de la fiche pratique de ccm :
De plus en plus, les lieux publics (cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher !

Ce sont donc des infections qui se propagent par supports amovibles : clé USB (cas le plus fréquent), disque dur externe, carte flash, ipod, lecteur MP3, appareil photo, etc...
Tout disque amovible inséré dans un ordinateur infecté sera infecté à son tour si l'infection est active. Autrement dit, l'infection se fera automatiquement par simple connexion si l'exécution automatique est activée pour les lecteurs amovibles.
Le simple fait d'ouvrir le poste de travail et de double-cliquer sur la clé usb / disque dur externe (ré)infectera le système d'exploitation ! La clé infectera à son tour un PC sain. Et ainsi de suite ...

Anikiki · Answer

Voila merci beaucoup de ton aide

########################### | UsbFix 7.036 | [Recherche]

Utilisateur: Hakim (Administrateur) # PC-DE-HAKIM [Dell Inc. Studio 1735]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 23:03:35 | 02/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T8100 @ 2.10GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000

Pare-feu Windows: Activé
Antivirus: AVG Anti-Virus 8.0 [(!) Disabled | Updated]
RAM -> 3069 Mo 
C:\ (%systemdrive%) -> Disque fixe # 288 Go (25 Go libre(s) - 9%) [OS] # NTFS
D:\ -> Disque fixe # 10 Go (5 Go libre(s) - 50%) [RECOVERY] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM

################## | Éléments infectieux |


Présent! C:\Users\Hakim\jpopt3.exe
Présent! C:\Users\Hakim\ZHPDiag2.exe
Présent! C:\Windows\system32\secushr.dat
Présent! C:\Windows\system32\sshnas21.dll
Présent! C:\Users\Hakim\AppData\Local\Temp\Ogj.exe
Présent! C:\Users\Hakim\AppData\Local\Temp\Ogk.exe
Présent! C:\Users\Hakim\AppData\Local\Temp\Ogl.exe
Présent! C:\Users\Hakim\AppData\Local\Temp\Ogm.exe
Présent! C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
Présent! C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
Présent! C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job

################## | Registre |

Présent! HKCU\Software\JP595IR86O
Présent! HKCU\Software\Microsoft\Handle
Présent! HKCU\Software\NtWqIVLZEWZU
Présent! HKCU\Software\XML
Présent! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{22116563-108C-42c0-A7CE-60161B75E508}
Présent! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}
Présent! HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|JP595IR86O
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Metropolis

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{3060d67f-ff93-11df-8193-0021708befec}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Recycled\ctfmon.exe
Shell\Open(0)\Command = G:\Recycled\ctfmon.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{47bd676e-e7d3-11de-9183-0021708befec}
Shell\AutoRun\Command = RavMon.exe
Shell\explore\Command = RavMon.exe -e
Shell\open\Command = RavMon.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{661d1d3f-405f-11de-8722-0021708befec}
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL strongkey-rc1.3-build-208.exe
Shell\default\Command = strongkey-rc1.3-build-208.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{72ee2149-b97a-11dd-98ed-0021708befec}
Shell\AutoRun\Command = F:\install.EXE /AUTORUN
Shell\configure\Command = F:\install.EXE
Shell\install\Command = F:\install.EXE

HKCU\.\.\.\.\Explorer\MountPoints2\{d52edf3e-d67f-11dd-9360-0021708befec}
Shell\AutoRun\Command = RavMon.exe
Shell\explore\Command = RavMon.exe -e
Shell\open\Command = RavMon.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e7a6adb1-d6b8-11de-a7e3-0021708befec}
Shell\AutoRun\Command = RavMon.exe
Shell\explore\Command = RavMon.exe -e
Shell\open\Command = RavMon.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e7a6adb9-d6b8-11de-a7e3-0021708befec}
Shell\AutoRun\Command = RavMon.exe
Shell\explore\Command = RavMon.exe -e
Shell\open\Command = RavMon.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

Valuu · Answer

Hello, repasse le en mode Suppression.
Puis refais un scan ZHPDiag, pour voir tout ce qui aura sauté.

Anikiki · Answer

Voila http://www.cijoint.fr/cjlink.php?file=cj201101/cijhlzbJA0.txt

Anikiki · Answer

Toujours le meme probleme et mon virus a installer flashget sur mon pc :s

Valuu · Answer

Hello, tu peux me joindre le rapport de suppression de USBFix (ou le repasser et me le joindre si tu l'as supprimé) ?

Puis fais ceci :
* Télécharge AD-Remover(de C_XX) sur ton Bureau. 
Déconnecte toi et ferme toutes les applications en cours 
* Double-clique sur l'icône AD-Remover 
* Au menu principal, clique sur Nettoyer 
* Confirme le lancement de l'analyse et laisse l'outil travailler 
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) 

* Télécharge sur le bureau RogueKiller (par Tigzy)
* Lance le.
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse.

    * Télécharge Malwarebytes' Anti-Malware
    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    * Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    * L'analyse peut durer un bon moment.....
    * Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    * Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
   * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

Anikiki · Answer

Usbfix : http://www.cijoint.fr/cjlink.php?file=cj201101/cijPW5CbxZ.txt
Ad-report-CLEAN : http://www.cijoint.fr/cjlink.php?file=cj201101/cijf8qNPft.txt
RogueKiller : http://www.cijoint.fr/cjlink.php?file=cj201101/cijPamSuPS.txt

Malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5449

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

03/01/2011 22:22:53
mbam-log-2011-01-03 (22-22-53).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 311681
Temps écoulé: 2 heure(s), 31 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\WHMDNR9LKK (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system defender (Rogue.SystemDefender) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://search-gala.com/?&uid=249&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Users\Hakim\AppData\Roaming\System Defender (Rogue.SystemDefender) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\UsbFix\Quarantine\C\Users\Hakim\AppData\Local\Temp\Ogj.exe.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\Users\Hakim\AppData\Local\Temp\Ogk.exe.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\Users\Hakim\AppData\Local\Temp\Ogl.exe.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\Users\Hakim\AppData\Local\Temp\Ogm.exe.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\Windows\system32\sshnas21.dll.vir (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.
C:\Users\Hakim\Professionnal\Activateur\Activateur.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
C:\Users\Hakim\Documents\Professionnal\Activateur\Activateur.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
C:\Users\Hakim\AppData\Roaming\System Defender\cookies.sqlite (Rogue.SystemDefender) -> Quarantined and deleted successfully.
C:\Users\Hakim\AppData\Roaming\System Defender\Instructions.ini (Rogue.SystemDefender) -> Quarantined and deleted successfully.
C:\Users\Hakim\AppData\Roaming\Microsoft\Windows\Start Menu\System Defender.lnk (Rogue.SystemDefender) -> Quarantined and deleted successfully.
C:\Windows\System32\secushr.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valuu · Answer

Re, bon ça doit aller beaucoup mieux là non ?
Refait moi un dernier rapport ZHPDiag, et on finalise si tout va bien de ton côté.

Anikiki · Answer

Ouai  faut que je vois dans le temps mais je pense que sa va sa rame deja moins!

http://www.cijoint.fr/cjlink.php?file=cj201101/cijmLsE7lD.txt
MERCI ENCORE!

Valuu · Answer

Fausse alerte il en reste un bout encore ^^

C:\Windows\System32\secustat.dat   

   * Rends-toi sur Virus Total   
   * Clique sur parcourir et sélectionnes les fichiers en gras ci-dessus.   
   * Clique sur Send file   
   * Si il te le demande, clique sur Reanalyse   
   * Une fois l'analyse, copie l'adresse de l'analyse, et colle la dans ta prochaine réponse  

Puis utilise le logiciel suivant :
Attention, avant de commencer, lit attentivement la procédure, et imprime la  

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt

Anikiki · Answer

http://www.virustotal.com/file-scan/report.html?id=289827883a5affeff3a6ce89013dd932af2b40d2fb30e5674ec81945c60bf1b4-1294157462

Je peux pas lancer combofix il me demande de desinstaller totalement avg , meme en le desactivant sa marche pas :s

juju666 · Answer

Hello

pour avancer Valuu:

En effet combofix ne fonctionnera pas avec AVG. Ils risquent d'endommager la machine.
Il faut absolument désinstaller AVG avec cet utilitaire:  https://www.avg.com/fr-fr/avg-remover

@+

Anikiki · Answer

Voici le compte rendu de combofix : http://www.cijoint.fr/cjlink.php?file=cj201101/cijFCYNqkV.txt

juju666 · Answer

Ok, vu

toujours en attendant Valuu ;)


&#9654 Rentre dans ton panneau de configuration....    
&#9654 Apparence et personnalisation...    
&#9654 Option des dossiers...(double cliquer dessus)    
&#9654 Dans l'onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option 
&#9654 Encore plus bas : Masquer les fichiers protégés du système d'exploitation (recommandé) : à décocher. 

&#9654 &#9654 ensuite rends toi sur ce lien: 
https://www.virustotal.com/gui/ 


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir" 
recherche les entrées suivante dans ton disque : 


c:\windows\system32\MpSigStub.exe
    


&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant 

&#9654 Copie et colle le lien de ta barre d'adresse ici, après que l'analyse soit terminée  

@+

Anikiki · Answer

Merci encore
http://www.virustotal.com/file-scan/report.html?id=a830c8c77f70cae5a7632d2275d1d5c8aec9467d98b299c0f2bbc624c9378ccb-1294161605

juju666 · Answer

Ok bien :)

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

Et je laisserai Valuu terminer avec toi :o)
@+

Anikiki · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijjXvR4m5.txt

juju666 · Answer

Finalement je reste ^^'

Peux tu envoyer le fichier suivant sur virustotal : 
C:\Windows\Oxopaa.exe   

@+

Anikiki · Answer

http://www.virustotal.com/file-scan/report.html?id=144225c40e0729eb34531cf6529840b581d04931fe9c15a618d79f57fa7c9f2f-1294162863

juju666 · Answer

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

&#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :


KillAll::

File::
C:\Windows\Oxopaa.exe 

Registry::
[-HKCU\Software\3]



&#9654 Enregistre ce fichier sous le nom CFScript

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

&#9654 Combofix se lance, laisse toi guider..

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 

@+

Anikiki · Answer

Alors bha jais plus de pub qui s'affiche sur ie et la combofix a effacer un fichier que avg signaler comme dangereux.

ComboFix 11-01-04.01 - Hakim 04/01/2011  19:05:29.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3069.1820 [GMT 1:00]
Lancé depuis: c:\users\Hakim\Desktop\Desktop\Anikiki.exe
Commutateurs utilisés :: c:\users\Hakim\Desktop\Desktop\CFScript.txt

FILE ::
"c:\windows\Oxopaa.exe"
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Oxopaa.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-04 au 2011-01-04  ))))))))))))))))))))))))))))))))))))
.

2011-01-04 18:10 . 2011-01-04 18:12	--------	d-----w-	c:\users\Hakim\AppData\Local	emp
2011-01-04 15:27 . 2010-11-10 04:33	6273872	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{F5EE8380-2A24-487A-9233-5CB6DE1350E8}\mpengine.dll
2011-01-03 18:49 . 2011-01-03 18:49	--------	d-----w-	c:\users\Hakim\AppData\Roaming\Malwarebytes
2011-01-03 18:48 . 2010-04-29 14:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-03 18:48 . 2011-01-03 18:48	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-01-03 18:48 . 2011-01-03 18:48	--------	d-----w-	c:\programdata\Malwarebytes
2011-01-03 18:48 . 2010-04-29 14:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-03 18:48 . 2011-01-03 18:48	6153352	----a-w-	c:\users\Hakim\mbam-setup_1.46.exe
2011-01-03 18:42 . 2011-01-03 18:42	594944	----a-w-	C:\RogueKiller.exe
2011-01-03 18:30 . 2011-01-03 18:30	--------	d-----w-	c:\program files\Ad-Remover
2011-01-02 21:55 . 2011-01-02 22:32	--------	d-----w-	C:\UsbFix
2011-01-02 21:54 . 2011-01-02 21:54	1217985	----a-w-	c:\users\Hakim\UsbFix.exe
2011-01-02 21:33 . 2011-01-02 21:33	--------	d-----w-	c:\program files\Navilog1
2011-01-02 21:32 . 2011-01-02 21:33	--------	d-----w-	C:\Navilog1
2011-01-02 21:06 . 2011-01-04 17:27	--------	d-----w-	c:\program files\ZHPDiag
2011-01-02 20:36 . 2011-01-02 20:36	200704	----a-r-	c:\users\Hakim\AppData\Roaming\Microsoft\Installer\{420816D7-0E65-4BE1-9AE4-719175266946}\qq.exe1_23B87F1C4C254DA3B14945516F9A79E6.exe
2011-01-02 20:36 . 2011-01-02 20:36	200704	----a-r-	c:\users\Hakim\AppData\Roaming\Microsoft\Installer\{420816D7-0E65-4BE1-9AE4-719175266946}\qq.exe_23B87F1C4C254DA3B14945516F9A79E6.exe
2011-01-02 20:36 . 2011-01-02 20:36	--------	d-----w-	c:\program files\MSN Webcam Recorder
2011-01-02 19:39 . 2011-01-04 16:38	--------	d-----w-	c:\users\Hakim\AppData\Local\ApplicationHistory
2011-01-02 19:21 . 2011-01-02 19:21	--------	d-----w-	c:\windows\system32\URTTEMP
2010-12-18 19:13 . 2010-12-18 19:13	--------	d-----w-	c:\program files\MSECache
2010-12-18 18:31 . 2010-12-18 18:31	--------	d-----w-	c:\program files\Microsoft FrontPage
2010-12-18 18:30 . 2010-12-18 18:30	--------	d-----w-	c:\users\Hakim\AppData\Roaming\Microsoft Web Folders
2010-12-15 16:49 . 2010-10-28 12:56	2048	----a-w-	c:\windows\system32	zres.dll
2010-12-15 16:49 . 2010-11-03 10:51	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-02 22:32 . 2011-01-02 22:28	1009396306	----a-w-	C:\UsbFix_Upload_Me_PC-DE-HAKIM.zip
2010-11-22 19:45 . 2010-11-22 19:46	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-22 19:43 . 2010-11-22 19:43	874272	----a-w-	c:\users\Hakim\jxpiinstall.exe
2010-10-19 09:41 . 2009-10-03 11:20	222080	------w-	c:\windows\system32\MpSigStub.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"SightSpeed"="c:\program files\Dell Video Chat\DellVideoChat.exe" [2008-08-15 4812664]
"Google Update"="c:\users\Hakim\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-02-18 135664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ECenter"="c:\dell\E-Center\EULALauncher.exe" [2008-02-29 17920]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-06-30 196608]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 178712]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2008-08-05 3563520]
"Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-06-03 446635]
"PCMService"="c:\program files\Dell\MediaDirect\PCMService.exe" [2008-01-14 132392]
"dellsupportcenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2009-06-03 206064]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"RemoteControl10"="c:\program files\CyberLink\PowerDVD10\PDVD10Serv.exe" [2010-02-02 87336]
"BDRegion"="c:\program files\Cyberlink\Shared files\brs.exe" [2010-04-02 75048]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-07-12 74752]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2010-08-29 202256]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\users\Hakim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock.lnk - c:\program files\Dell\DellDock\DellDock.exe [2008-7-15 1226024]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-5-2 1211472]

c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Dell Dock First Run.lnk - c:\program files\Dell\DellDock\DellDock.exe [2008-7-15 1226024]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\GoToAssist]
2008-11-07 17:09	10536	----a-w-	c:\program files\Citrix\GoToAssist\514\g2awinlogon.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 fbxusb;Carte réseau virtuelle FreeBox USB (32 bits);c:\windows\system32\DRIVERS\fbxusb32.sys [2007-08-27 31128]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-11-23 717296]
S2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC};Power Control [2010/07/21 15:23];c:\program files\CyberLink\PowerDVD10\NavFilter\000.fcl [2010-04-02 07:11 87536]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_2ba5baa4\aestsrv.exe [2008-08-29 73728]
S2 DockLoginService;Dock Login Service;c:\program files\Dell\DellDock\DockLogin.exe [2008-05-02 161048]
S3 itecir;ITECIR Infrared Receiver;c:\windows\system32\DRIVERS\itecir.sys [2008-03-14 54784]
S3 k57nd60x;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60x.sys [2008-03-13 203264]
S3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\DRIVERS\OA001Ufd.sys [2008-07-28 144672]
S3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\DRIVERS\OA001Vid.sys [2008-07-28 277504]

.
Contenu du dossier 'Tâches planifiées'

2010-02-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-555551002-3573888142-1734321850-1000Core.job
- c:\users\Hakim\AppData\Local\Google\Update\GoogleUpdate.exe [2010-02-18 17:31]

2010-12-31 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-555551002-3573888142-1734321850-1000Core1cab6f31bb54171.job
- c:\users\Hakim\AppData\Local\Google\Update\GoogleUpdate.exe [2010-02-18 17:31]

2011-01-04 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-555551002-3573888142-1734321850-1000UA.job
- c:\users\Hakim\AppData\Local\Google\Update\GoogleUpdate.exe [2010-02-18 17:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = 127.0.0.1:8080
uInternet Settings,ProxyOverride = local
IE: &Envoyer à OneNote - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
Trusted Zone: kuaiche.com\software
FF - ProfilePath - c:\users\Hakim\AppData\Roaming\Mozilla\Firefox\Profiles\30i1zsjr.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
.

**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD10\NavFilter\000.fcl"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet003\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\DriverStore\FileRepository\stwrt.inf_2ba5baa4\STacSV.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\WLTRYSVC.EXE
c:\windows\System32\bcmwltry.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\windows\system32\conime.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\iPod\bin\iPodService.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\program files\Dell Support Center\bin\sprtsvc.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2011-01-04  19:20:39 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-01-04 18:19
ComboFix2.txt  2011-01-04 16:56

Avant-CF: 38 073 552 896 octets libres
Après-CF: 38 318 649 344 octets libres

- - End Of File - - C0157EFF2A3BB7076E0352A62B7541DC

juju666 · Answer

It's good ! 

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Exécuter List_Kill'em

une fois terminée , clic sur "terminer" 

lance-le via le raccourci apparu sur ton bureau comme précité au début 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

@+

Anikiki · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cij9lyRW0l.txt

juju666 · Answer

?

T'es sûr que c'est le rapport de List'em ?

Anikiki · Answer

jai eu que sa ouai :s

juju666 · Answer

Y'a eu un problème...


c:/programfiles(x86)/list_kill'em

clic droit > exécuter en tant qu'administrateur sur le fichier List_Kill'em.L_K

Clique sur Search 

Et héberge le nouveau rapport.

Anikiki · Answer

Sa me met " windows ne trouve pas list'em.bat." mm apres avoir reinstaller list_kill'em :s

juju666 · Answer

c:/programfiles(x86)/list_kill'em 

clic droit > exécuter en tant qu'administrateur sur le fichier List'em.bat

ça devrait fonctionner là...

Anikiki · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cij4YySZGp.txt

juju666 · Answer

Eh bien voilà qui est mieux lol ^^

c:/programfiles(x86)/list_kill'em

clic droit > exécuter en tant qu'administrateur sur le fichier del_reg.bat

Anikiki · Answer

C'est fait?
G fini?

juju666 · Answer

Je peux avoir le rapport? :)

Anikiki · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijndrVUoi.txt

Valuu · Answer

Hello,
Je reprend le shmilblick ;-)

Peux-tu refaire un ZHPDiag (au risque de te redonner un faux espoir, ça doit être bon maintenant) ?

Anikiki · Answer

Merci encore enormement pour votre aide.
http://www.cijoint.fr/cjlink.php?file=cj201101/cijElmz4Wh.txt

Valuu · Answer

C'est un List'em lui ;)
Un ZHPDiag s'il te plait :)

Anikiki · Answer

mauvais lien dsl
http://www.cijoint.fr/cjlink.php?file=cj201101/cijuuTKQ8G.txt

Valuu · Answer

Celui là à été fait à 18h26, tu a fait des manipulations depuis. Peux-tu en refaire un tout nouveau tout beau stp ?

juju666 · Answer

Re,

Encore raté, ce rapport ZHPDiag date de  18:26:42

;-)

Anikiki · Answer

dsl c la fatigue lol
voila le tout neuf : http://www.cijoint.fr/cjlink.php?file=cj201101/cijDGmUYSH.txt

Valuu · Answer

Re,
Encore un peu. Et après y aura pas mal de mise à jour à faire :)

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE 

&#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll::

File::
C:\Windows\System32	mp.txt

Registry::
[-HKCU\Software\3] 


&#9654 Enregistre ce fichier sous le nom CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! 
Ne touche à rien tant que le scan n'est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Anikiki · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijkTmAjRO.txt

juju666 · Answer

Hello

Pour avancer :

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


[HKCU\Software\3] 


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau . 

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". 

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message 

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)  

Ensuite refais une analyse avec zhpdiag et héberge le rapport

@+

Anikiki · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijl3Glb9n.txt

Valuu · Answer

Hello, très bien !
Je te prépare le final là ;)

Valuu · Answer

Re, 

* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur). 
* Copie les lignes suivantes : 
--------------------------------------------------- 
[MD5.00000000000000000000000000000000] [APT] [{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}] (.Pas de propriétaire.) -- C:\Users\Hakim\AppData\Local\Temp\Ogm.exe (.not file.)    => Infection Rootkit (Rootkit.Agent) 
04 - Global Startup: C:\Documents And Settings\Hakim\Desktop\FlashGet 3.3.lnk . (.Pas de propriétaire.)  -- C:\Program Files\FlashGet Network\FlashGet 3\Flashget3.exe (.not file.) 
O4 - Global Startup: C:\Documents And Settings\Hakim\Desktop\IP Privacy.lnk . (.Pas de propriétaire.)  -- C:\Program Files\IP Privacy\IP Privacy.exe (.not file.) 
O4 - Global Startup: C:\Documents And Settings\Hakim\Desktop\pes2010.exe - Raccourci.lnk . (.Pas de propriétaire.)  -- C:\Users\Hakim\Jeux\Pc\Pes 2010\pes2010.exe (.not file.) 
O4 - Global Startup: C:\Users\Hakim\Desktop\FlashGet 3.3.lnk . (.Pas de propriétaire.)  -- C:\Program Files\FlashGet Network\FlashGet 3\Flashget3.exe (.not file.) 
O4 - Global Startup: C:\Users\Hakim\Desktop\IP Privacy.lnk . (.Pas de propriétaire.)  -- C:\Program Files\IP Privacy\IP Privacy.exe (.not file.) 
O4 - Global Startup: C:\Users\Hakim\Desktop\pes2010.exe - Raccourci.lnk . (.Pas de propriétaire.)  -- C:\Users\Hakim\Jeux\Pc\Pes 2010\pes2010.exe (.not file.) 
O41 - Driver:  (AvgLdx86) . (.Microsoft Corporation - Ancillary Function Driver for WinSock.) - C:\Windows\system32\Drivers\avgldx86.sys (.not file.) 
O41 - Driver:  (AvgMfx86) . (.Microsoft Corporation - Ancillary Function Driver for WinSock.) - C:\Windows\system32\Drivers\avgmfx86.sys (.not file.) 
O41 - Driver:  (AvgTdiX) . (.Microsoft Corporation - Ancillary Function Driver for WinSock.) - C:\Windows\system32\Drivers\avgtdix.sys (.not file.) 
O44 - LFC:[MD5.87508789E4E3F64F891751F0FD96C190] - 03/01/2011 - 19:33:46 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt   [2306]    => C_XX AdRemover Report 
P2 - FPN: [HKLM] [@divx.com/DivX Player Plugin,version=1.0.0] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\DivX\DivX Player
pDivxPlayerPlugin.dll (.not file.)      
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe      
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe      
OPT:O4 - Global Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Microsoft Office.lnk . (.Microsoft Corporation.)  -- C:\Program Files\Microsoft Office\Office\OSA9.EXE      
OPT:O4 - Global Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\QuickSet.lnk . (.Dell Inc..)  -- C:\Program Files\Dell\QuickSet\quickset.exe      
OPT:O4 - Global Startup: C:\Users\Hakim\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk . (.Pas de propriétaire.)  -- C:\Program Files\OpenOffice.org 3\program\quickstart.exe      
O4 - Global Startup: C:\Users\Hakim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Shows Desktop.lnk - Clé orpheline      
O4 - Global Startup: C:\Users\Hakim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Window Switcher.lnk - Clé orpheline      
O44 - LFC:[MD5.F0ED12006FFC3D7700FCFD7FC4EE1200] - 04/01/2011 - 20:59:08 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\WindowsUpdate.log   [1195981]  
O44 - LFC:[MD5.DEEB04A9FC7089978A87AA7378C742F3] - 04/01/2011 - 20:57:36 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\List'em.txt   [35945]      
O44 - LFC:[MD5.859BD7817CD315D23247FAA6841A535C] - 04/01/2011 - 19:20:44 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\ComboFix.txt   [12681]      
O44 - LFC:[MD5.F5018835204AFD7E6A654C001D305F92] - 04/01/2011 - 19:10:54 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\PFRO.log   [39332]  
O44 - LFC:[MD5.745DA43A22C4626B336C24002F3FFCCC] - 04/01/2011 - 18:32:21 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\ZHPDiag.Txt   [115542]      
O44 - LFC:[MD5.4D6BF48FAADA96598D1BE8B0E2F0559E] - 03/01/2011 - 19:45:05 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\RKreport.txt   [483]      
O44 - LFC:[MD5.6B8AFC9BEFFAD9E5B4D183FE2F8DF6B9] - 03/01/2011 - 19:42:27 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\RogueKiller.exe   [594944]      
O44 - LFC:[MD5.87508789E4E3F64F891751F0FD96C190] - 03/01/2011 - 19:33:46 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[1].txt   [2306]      
O44 - LFC:[MD5.CAA15F9C7C60575DD623CF32A2835D9D] - 02/01/2011 - 23:32:28 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix.txt   [5329]      
O44 - LFC:[MD5.54037D2C2F98638B7A8482ABE50D3A88] - 02/01/2011 - 23:32:21 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\UsbFix_Upload_Me_PC-DE-HAKIM.zip   [1009396306]      
O47 - AAKE:Key Export SP - "C:\Program Files\FlashGet Network\FlashGet 3\FlashGet3.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --      
O69 - SBI: SearchScopes [HKCU] {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9} - (DAEMON Search) - http://www.daemon-search.com/search/web?q={searchTerms} 
--------------------------------------------------- 
* Clique sur l'icône représentant la lettre H (« coller les lignes Helper ») 
* Les lignes se collent automatiquement dans ZHPFix. 
*Vérifie que toutes les lignes y sont. 
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer » 
* Colle le contenu du rapport dans ta prochaine réponse. 


Met ton environnement Java à jour :
    * Télécharge JavaRa.zip 
    * Décompresse le fichier sur ton bureau (clique droit > Extraire tout.) 
    * Double-clique sur le répertoire JavaRa obtenu. 
    * Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher) 
    * Clique sur Search For Updates. 
    * Sélectionne Update Using jucheck.exe puis clique sur Search. 
    * Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
    * Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
    * Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
    * Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. (Note : le rapport se trouve aussi là : ( C:\JavaRa.log )) 

Fais un tour sur Windows Update et met ton système à jour (ainsi que ton navigateur internet) : 
http://www.malekal.com/2010/11/12/les-mises-a-jour-sous-windows/ 

Réactive l'UAC si nous l'avons désactivée, de la même manière que tu l'as désactivée. 

Désactive et Réactive ta restauration système :
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

Tu as du boulot ! :P

Anikiki · Answer

http://www.virustotal.com/file-scan/report.html?id=a830c8c77f70cae5a7632d2275d1d5c8aec9467d98b299c0f2bbc624c9378ccb-1294264735

Valuu · Answer

Hello !
Hé bien... si tu as fais tout ce qui était demandé... oui c'est fini :-)
Si tu as des questions n'hésites pas.
Tu peux désinstaller JavaRa au passage.

Tchou ++

Anikiki · Answer

Merci encore beaucoup pour votre aide!

Pub intempstive

55 réponses

Discussions similaires