MDG pour Shoujo
moment de grace
Messages postés
30049
Statut
Contributeur sécurité
-
Xplode -
Xplode -
Bonjour,
je t'invite à t'inscrire pour mieux suivre ton sujet
ZHP :http://www.cijoint.fr/cjlink.php?file=cj201101/cijFYILPty.txt
ok
fais ceci stp
1)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
________________
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
____________
3)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
je t'invite à t'inscrire pour mieux suivre ton sujet
ZHP :http://www.cijoint.fr/cjlink.php?file=cj201101/cijFYILPty.txt
ok
fais ceci stp
1)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
________________
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
____________
3)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
73 réponses
Bon j'ai réessayé, quand je clique sur moveit, OTM ne répond plus, et il bloque le reste de mon pc. Tout sur mon bureau disparaît donc j'dois éteindre le pc.
Je fais comment dans ce cas-là ? :/
Je fais comment dans ce cas-là ? :/
moment de grace
Messages postés
30049
Statut
Contributeur sécurité
2 274
je fais vérifier mon script...
ok
même manip avec ce terxte pour voir
:Reg
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List]
"File1"=""
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
"40"=""
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
"6"=""
:files
C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk
C:\Users\shorty\Pictures\Form1.jpg
:commands
[emptytemp]
[start explorer]
[reboot]
même manip avec ce terxte pour voir
:Reg
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List]
"File1"=""
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
"40"=""
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
"6"=""
:files
C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk
C:\Users\shorty\Pictures\Form1.jpg
:commands
[emptytemp]
[start explorer]
[reboot]
All processes killed
========== REGISTRY ==========
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List\\"File1"|"" /E : value set successfully!
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\\"40"|""HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg] /E : value set successfully!
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\\"6"|"" /E : value set successfully!
========== FILES ==========
C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk moved successfully.
C:\Users\shorty\Pictures\Form1.jpg moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
User: shorty
->Temp folder emptied: 49596 bytes
->Temporary Internet Files folder emptied: 4164530 bytes
->FireFox cache emptied: 56776410 bytes
->Flash cache emptied: 2842294 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 83800 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 6349694 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 67,00 mb
OTM by OldTimer - Version 3.1.17.2 log created on 01152011_091812
Files moved on Reboot...
Registry entries deleted on Reboot...
Voilà le rapport que j'ai eu après qu'le pc ait redémarré, Form1 est toujours visible dans mon gestionnaire des taches en tout cas :/
========== REGISTRY ==========
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Applets\Paint\Recent File List\\"File1"|"" /E : value set successfully!
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\\"40"|""HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg] /E : value set successfully!
HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\\"6"|"" /E : value set successfully!
========== FILES ==========
C:\Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk moved successfully.
C:\Users\shorty\Pictures\Form1.jpg moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
User: shorty
->Temp folder emptied: 49596 bytes
->Temporary Internet Files folder emptied: 4164530 bytes
->FireFox cache emptied: 56776410 bytes
->Flash cache emptied: 2842294 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 83800 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 6349694 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 67,00 mb
OTM by OldTimer - Version 3.1.17.2 log created on 01152011_091812
Files moved on Reboot...
Registry entries deleted on Reboot...
Voilà le rapport que j'ai eu après qu'le pc ait redémarré, Form1 est toujours visible dans mon gestionnaire des taches en tout cas :/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 10:06:24 le 15/01/2011
4.
5. Valeur(s) recherchée(s):
6. Form1
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) ======
16.
17.
18. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk" [ ARCHIVE | 518 o ]
19. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:58:36 | DA: 14/01/2011,15:58:36
20.
21. Hash MD5: 2DF1A289B71C9726DE18DCF82A61A4D9
22.
23.
24. =========================
25.
26.
27. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\Pictures\Form1.jpg" [ NOT_CONTENT_INDEXED|ARCHIVE | 104 Ko ]
28. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:57:52 | DA: 14/01/2011,15:57:52
29.
30. Hash MD5: DD6287DF692ADD4E5843A880F7DB4BF4
31.
32.
33. =========================
34.
35.
36.
37. ====== Entrée(s) du registre ======
38.
39.
40. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
41. "6"="Form1.jpg" (REG_BINARY)
42.
43. =========================
44.
45. Fin à: 10:15:04 le 15/01/2011
46. 402978 Éléments analysés
47.
48. =========================
49. E.O.F
2.
3. Commencé à: 10:06:24 le 15/01/2011
4.
5. Valeur(s) recherchée(s):
6. Form1
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) ======
16.
17.
18. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk" [ ARCHIVE | 518 o ]
19. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:58:36 | DA: 14/01/2011,15:58:36
20.
21. Hash MD5: 2DF1A289B71C9726DE18DCF82A61A4D9
22.
23.
24. =========================
25.
26.
27. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\Pictures\Form1.jpg" [ NOT_CONTENT_INDEXED|ARCHIVE | 104 Ko ]
28. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:57:52 | DA: 14/01/2011,15:57:52
29.
30. Hash MD5: DD6287DF692ADD4E5843A880F7DB4BF4
31.
32.
33. =========================
34.
35.
36.
37. ====== Entrée(s) du registre ======
38.
39.
40. [HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
41. "6"="Form1.jpg" (REG_BINARY)
42.
43. =========================
44.
45. Fin à: 10:15:04 le 15/01/2011
46. 402978 Éléments analysés
47.
48. =========================
49. E.O.F
Télécharge :ATF Cleaner par Atribune
http://www.atribune.org/ccount/click.php?id=1
Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All .
Clique sur le bouton Empty Selected
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected a
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité.
Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.
http://www.atribune.org/ccount/click.php?id=1
Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All .
Clique sur le bouton Empty Selected
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected a
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité.
Clique Exit, du menu prinicipal, afin de fermer le programme.
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus.
J'ai fais ce que tu m'as demandé au dessus.
Par contre la page plante beaucoup avec Mozilla, elle ne veut plus s'afficher correctement. Là je dois passer par internet explorer.
Par contre la page plante beaucoup avec Mozilla, elle ne veut plus s'afficher correctement. Là je dois passer par internet explorer.
? Double-clique sur OTM.exe afin de le lancer.
? Copie (Ctrl+C) le texte suivant ci-dessous :
:Reg
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
"6"=-
:commands
[emptytemp]
[start explorer]
[reboot]
? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
? Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
? Copie (Ctrl+C) le texte suivant ci-dessous :
:Reg
[HKU\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg]
"6"=-
:commands
[emptytemp]
[start explorer]
[reboot]
? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
? Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
All processes killed
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg\\6 deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: shorty
->Temp folder emptied: 682433 bytes
->Temporary Internet Files folder emptied: 3933748 bytes
->FireFox cache emptied: 82499538 bytes
->Flash cache emptied: 686 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23856 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 83,00 mb
OTM by OldTimer - Version 3.1.17.2 log created on 01152011_184811
========== REGISTRY ==========
Registry value HKEY_USERS\S-1-5-21-2836588960-3566010448-3788914312-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.jpg\\6 deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: shorty
->Temp folder emptied: 682433 bytes
->Temporary Internet Files folder emptied: 3933748 bytes
->FireFox cache emptied: 82499538 bytes
->Flash cache emptied: 686 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23856 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 83,00 mb
OTM by OldTimer - Version 3.1.17.2 log created on 01152011_184811
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 08:50:38 le 17/01/2011
4.
5. Valeur(s) recherchée(s):
6. Form1
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) ======
16.
17.
18. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk" [ ARCHIVE | 518 o ]
19. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:58:36 | DA: 14/01/2011,15:58:36
20.
21. Hash MD5: 2DF1A289B71C9726DE18DCF82A61A4D9
22.
23.
24. =========================
25.
26.
27. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\Pictures\Form1.jpg" [ NOT_CONTENT_INDEXED|ARCHIVE | 104 Ko ]
28. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:57:52 | DA: 14/01/2011,15:57:52
29.
30. Hash MD5: DD6287DF692ADD4E5843A880F7DB4BF4
31.
32.
33. =========================
34.
35.
36.
37. ====== Entrée(s) du registre ======
38.
39. Aucun élément dans le registre trouvé
40.
41. =========================
42.
43. Fin à: 09:00:31 le 17/01/2011
44. 404173 Éléments analysés
45.
46. =========================
47. E.O.F
2.
3. Commencé à: 08:50:38 le 17/01/2011
4.
5. Valeur(s) recherchée(s):
6. Form1
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14.
15. ====== Fichier(s) ======
16.
17.
18. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\AppData\Roaming\Microsoft\Windows\Recent\Form1.lnk" [ ARCHIVE | 518 o ]
19. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:58:36 | DA: 14/01/2011,15:58:36
20.
21. Hash MD5: 2DF1A289B71C9726DE18DCF82A61A4D9
22.
23.
24. =========================
25.
26.
27. "C:\_OTM\MovedFiles\01152011_091812\C_Users\shorty\Pictures\Form1.jpg" [ NOT_CONTENT_INDEXED|ARCHIVE | 104 Ko ]
28. TC: 14/01/2011,15:57:52 | TM: 14/01/2011,15:57:52 | DA: 14/01/2011,15:57:52
29.
30. Hash MD5: DD6287DF692ADD4E5843A880F7DB4BF4
31.
32.
33. =========================
34.
35.
36.
37. ====== Entrée(s) du registre ======
38.
39. Aucun élément dans le registre trouvé
40.
41. =========================
42.
43. Fin à: 09:00:31 le 17/01/2011
44. 404173 Éléments analysés
45.
46. =========================
47. E.O.F
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge ici :List_Kill'em et enregistre le sur ton bureau
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
1er rapport : http://www.cijoint.fr/cjlink.php?file=cj201101/cijzcsVBvd.txt
2e rapport : http://www.cijoint.fr/cjlink.php?file=cj201101/cij05cfA6n.txt
2e rapport : http://www.cijoint.fr/cjlink.php?file=cj201101/cij05cfA6n.txt
Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
choisis l'option CLEAN
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
colle le contenu dans ta reponse
mais cette fois-ci :
choisis l'option CLEAN
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
colle le contenu dans ta reponse
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.2 ¤¤¤¤¤¤¤¤¤¤
User : shorty (Administrateurs)
Update on 15/01/2011 by g3n-h@ckm@n ::::: 10.20
Start at: 09:50:19 | 17/01/2011
AMD Turion(tm) 64 X2 Mobile Technology TL-56
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled
AV : AntiVir Desktop 10.0.1.56 [ Enabled | Updated ]
C:\ -> Disque fixe local | 178,3 Go (130,3 Go free) [HDD] | NTFS
D:\ -> Disque CD-ROM
Killed : PID 852 'Firefox.exe'
Killed : PID 2816 'Msnmsgr.exe'
Killed : PID 2816 'Msnmsgr.exe'
Killed : PID 1708 'explorer.exe'
Killed : PID 1708 'explorer.exe'
Killed : PID 1708 'explorer.exe'
Killed : PID 1708 'explorer.exe'
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\Users\shorty\AppData\Local\fusioncache.dat
Quarantined & Deleted !! : C:\Users\shorty\AppData\Local\GDIPFONTCACHEV1.DAT
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)
FirewallDisableNotify = 0 (0x0)
AntiVirusDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
FirstRunDisabled = 1 (0x1)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤ Winlogon
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell = 1 (0x1)
Shell = explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
System =
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6000 Disk: ST920042 rev.3.AA -> Harddisk0\DR0 -> \Device\00000055
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll storport.sys nvstor32.sys
C:\Windows\system32\drivers\nvstor32.sys NVIDIA Corporation NVIDIA nForce(TM) SATA Driver
1 ntkrnlpa!IofCallDriver[0x81C27F3B] -> \Device\Harddisk0\DR0[0x84D28200]
3 nt[0x81CB07E2] -> ntkrnlpa!IofCallDriver[0x81C27F3B] -> [0x839A4928]
5 acpi[0x8023232A] -> ntkrnlpa!IofCallDriver[0x81C27F3B] -> \Device\00000055[0x843A99D0]
kernel: MBR read successfully
user & kernel MBR OK
End of Scan : 9:50:56
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
User : shorty (Administrateurs)
Update on 15/01/2011 by g3n-h@ckm@n ::::: 10.20
Start at: 09:50:19 | 17/01/2011
AMD Turion(tm) 64 X2 Mobile Technology TL-56
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6000 32-bit) #
Internet Explorer 7.0.6000.16982
Windows Firewall Status : Enabled
AV : AntiVir Desktop 10.0.1.56 [ Enabled | Updated ]
C:\ -> Disque fixe local | 178,3 Go (130,3 Go free) [HDD] | NTFS
D:\ -> Disque CD-ROM
Killed : PID 852 'Firefox.exe'
Killed : PID 2816 'Msnmsgr.exe'
Killed : PID 2816 'Msnmsgr.exe'
Killed : PID 1708 'explorer.exe'
Killed : PID 1708 'explorer.exe'
Killed : PID 1708 'explorer.exe'
Killed : PID 1708 'explorer.exe'
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\Users\shorty\AppData\Local\fusioncache.dat
Quarantined & Deleted !! : C:\Users\shorty\AppData\Local\GDIPFONTCACHEV1.DAT
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
Deleted : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)
FirewallDisableNotify = 0 (0x0)
AntiVirusDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
FirstRunDisabled = 1 (0x1)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2
¤¤¤¤¤¤¤¤¤¤ Winlogon
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell = 1 (0x1)
Shell = explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
System =
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6000 Disk: ST920042 rev.3.AA -> Harddisk0\DR0 -> \Device\00000055
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll storport.sys nvstor32.sys
C:\Windows\system32\drivers\nvstor32.sys NVIDIA Corporation NVIDIA nForce(TM) SATA Driver
1 ntkrnlpa!IofCallDriver[0x81C27F3B] -> \Device\Harddisk0\DR0[0x84D28200]
3 nt[0x81CB07E2] -> ntkrnlpa!IofCallDriver[0x81C27F3B] -> [0x839A4928]
5 acpi[0x8023232A] -> ntkrnlpa!IofCallDriver[0x81C27F3B] -> \Device\00000055[0x843A99D0]
kernel: MBR read successfully
user & kernel MBR OK
End of Scan : 9:50:56
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Double-clique sur OTM.exe afin de le lancer.
? Copie (Ctrl+C) le texte suivant ci-dessous :
:Reg
[-HKEY_CURRENT_USER\software\cacaoweb]
:commands
[emptytemp]
[start explorer]
[reboot]
? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
? Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
? Copie (Ctrl+C) le texte suivant ci-dessous :
:Reg
[-HKEY_CURRENT_USER\software\cacaoweb]
:commands
[emptytemp]
[start explorer]
[reboot]
? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
? Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
si il est toujour présent
fais ceci https://forums.commentcamarche.net/forum/affich-20555136-plus-d-icone-sur-le-bureau-sous-windows-vista#1
fais ceci https://forums.commentcamarche.net/forum/affich-20555136-plus-d-icone-sur-le-bureau-sous-windows-vista#1
All processes killed
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\cacaoweb\ deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: shorty
->Temp folder emptied: 2194236 bytes
->Temporary Internet Files folder emptied: 843848 bytes
->FireFox cache emptied: 105691839 bytes
->Flash cache emptied: 3914 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 97476 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 104,00 mb
OTM by OldTimer - Version 3.1.17.2 log created on 01172011_105702
Et il est .. Toujours LAAAAAA. gr
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\cacaoweb\ deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Public
User: shorty
->Temp folder emptied: 2194236 bytes
->Temporary Internet Files folder emptied: 843848 bytes
->FireFox cache emptied: 105691839 bytes
->Flash cache emptied: 3914 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 97476 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 104,00 mb
OTM by OldTimer - Version 3.1.17.2 log created on 01172011_105702
Et il est .. Toujours LAAAAAA. gr
Double-clique sur OTM.exe afin de le lancer.
? Copie (Ctrl+C) le texte suivant ci-dessous :
:Reg
[-HKEY_CURRENT_USER\software\cacaoweb]
:commands
[emptytemp]
[start explorer]
[reboot]
? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
? Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
? Copie (Ctrl+C) le texte suivant ci-dessous :
:Reg
[-HKEY_CURRENT_USER\software\cacaoweb]
:commands
[emptytemp]
[start explorer]
[reboot]
? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
? Clique maintenant sur le bouton MoveIt! puis ferme OTM
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
*Le nom du rapport correspond au moment de sa création : date_heure.log
