Trojan sur Google avec Mavideniz.gen.tr

Résolu
Lully -  
 Lully -
Bonjour,



Voilà je n'arrive plus à ouvrir google, une page mavideniz.gen.tr s'affiche à la place de ma page d'accueil firefox, idem sur internet explorer.

Que puis-je faire pour m'en débarrasser, est ce dangereux pour les données contenues dans mon ordinateur?

J'ai téléchargé ZHPDiag, mais je ne sais pas à quoi sert le rapport que voici:
https://www.cjoint.com/?0bowK7IGryH

Est ce que quelqu'un peut m'aider?

Merci d'avance...

Lully

9 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour , avec un pc qui n'est pas tenu à jour presque normal que tu sois infecté , car tu est encore avec le sp2 de xp et le sp3 est disponible depuis longtemps , et pareiel consernant IE tu as la version 6 et la 8 est de rigueur !!!
    sur ton rapport beau coup d'infection de diverse famille et un fichier host corrompu , on va essayer de nettoyer tous cela , tu fais ce qui suis dans l'ordre pas faorcer de tous faire imédiatement vu l'heure et le temps nécessaire , mais tu fais tous dans l'ordre , merci

    1) tu fais zhpfix comme expliqué

    . Copie les lignes suivantes en GRAS


    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mavideniz.gen.tr
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mavideniz.gen.tr
    O2 - BHO: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\pbfrv2.dll
    O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} . (.Secure Digital Services Limited - OfferBox.) -- C:\Program Files\OfferBox\OfferBoxBHO.dll
    O3 - Toolbar: PBFRV2 - {4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\pbfrv2.dll
    O4 - HKCU\..\Run: [nod32] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\Joel\LOCALS~1\Temp\nodqq.exe
    O4 - HKCU\..\Run: [dso32] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\Joel\LOCALS~1\Temp\dsoqq.exe
    O4 - HKCU\..\Run: [api32] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\Joel\LOCALS~1\Temp\apiqq.exe
    O4 - HKCU\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
    O4 - HKCU\..\Run: [King_ar] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\arking.exe
    O4 - HKUS\S-1-5-21-3220385205-2911438483-653308432-1006\..\Run: [nod32] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\Joel\LOCALS~1\Temp\nodqq.exe
    O4 - HKUS\S-1-5-21-3220385205-2911438483-653308432-1006\..\Run: [dso32] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\Joel\LOCALS~1\Temp\dsoqq.exe
    O4 - HKUS\S-1-5-21-3220385205-2911438483-653308432-1006\..\Run: [api32] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\Joel\LOCALS~1\Temp\apiqq.exe
    O4 - HKUS\S-1-5-21-3220385205-2911438483-653308432-1006\..\Run: [king_mg] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\mgking.exe
    O4 - HKUS\S-1-5-21-3220385205-2911438483-653308432-1006\..\Run: [King_ar] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\arking.exe
    O4 - Global Startup: C:\Documents And Settings\Joel\Menu Démarrer\Programmes\Navigateur OfferBox.lnk . (.Secure Digital Services Limited.) -- C:\Program Files\OfferBox\OfferBoxLauncher.exe
    O42 - Logiciel: OfferBox - (.Secure Digital Services Limited.) [HKLM] -- OfferBox
    [HKCU\Software\Dynamic Toolbar]
    [HKCU\Software\OfferBox]
    O43 - CFD: 22/06/2006 - 08:25:12 ----D- C:\Program Files\Dynamic Toolbar
    O43 - CFD: 10/11/2010 - 19:58:52 ----D- C:\Program Files\OfferBox
    O43 - CFD: 25/12/2010 - 23:22:46 ----D- C:\Documents and Settings\Joel\Application Data\OfferBox
    O44 - LFC:[MD5.27CFD02AF6EA343E492EFC5CFA021001] - 13/01/2011 - 21:31:02 RSH-- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\arking.exe [193024]
    O44 - LFC:[MD5.3798689833711D6100979E48B85516AF] - 13/01/2011 - 21:29:56 RSH-- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\mgking0.dll [118272]
    O51 - MPSK:{1200f348-d1c6-11dc-92c3-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\cbbw88s.exe (.not file.)
    O51 - MPSK:{1200f348-d1c6-11dc-92c3-00038a000015}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- E:\cbbw88s.exe (.not file.)
    O51 - MPSK:{7ae69ed3-7b78-11df-b2fe-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\nds0q.exe (.not file.)
    O51 - MPSK:{7ae69ed3-7b78-11df-b2fe-00038a000015}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- E:\nds0q.exe (.not file.)
    O51 - MPSK:{90772656-8c54-11df-b313-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- F:\qhbfqx.exe (.not file.)
    O51 - MPSK:{90772656-8c54-11df-b313-00038a000015}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- F:\qhbfqx.exe (.not file.)
    O51 - MPSK:{ddb6ad40-d261-11db-9570-00038a000015}\Shell\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- E:\qhbfqx.exe (.not file.)
    O51 - MPSK:{ddb6ad40-d261-11db-9570-00038a000015}\Shell\open\command. (.Pas de propriétaire - Pas de description.) -- E:\qhbfqx.exe (.not file.)
    HOSTFix
    MBRFix



    . Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
    . Pour XP, double-clique sur ZHPFix
    . pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
    . Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

    Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    !! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    . cliques sur OK
    . Clique sur « Tous », puis sur « Nettoyer »
    . Copie/colle la totalité du rapport dans ta prochaine réponse
    tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    2) passes ad-remover mode NETTOYER

    Déactives ton anti-virus et anti-spyware le temps du scan

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    Télécharge Ad-Remover sur ton bureau:
    http://www.teamxscript.org/adremoverTelechargement.html
    ou:
    https://www.androidworld.fr/

    /!\ Ferme toutes tes applications ouvertes. /!\

    Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
    Laisse travailler l'outil.
    Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.

    ( Le rapport est sauvegardé sous C:\Ad-report-clean.log )

    3) passes USBfix mode SUPPRESSION

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    * Télécharges et installes : http://www.teamxscript.org/usbfixTelechargement.html

    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    * Double clic sur le raccourci UsbFix présent sur ton bureau .

    * choisis l'option 2 ( Suppression )

    * Ton bureau disparaitra et le pc redémarrera .

    * Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

    * Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
    Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
    Nous vous remercions pour votre contribution.


    . UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

    Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

    Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

    Merci d'avance pour ta contribution !!

    4) fais un examen complet de ton avec malwarebytes tu vériffis bien que tu est sur la dernière version en lui faisant bien la mise à jour sur mon pc j'ai la version 5521 donc il faut que tu est au moins celle ci

    !! ATTENTION !!! près de 2 heures de scan !!!

    Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    si problème essais avec celui ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX

    . enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Une fois la mise à jour terminée
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Sélectionnes tous les disques si proposés
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . redemarre le pc si il le fait pas lui même
    . une fois redémarré double-cliques sur malwarebytes
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    5) postes un nouveau ZHPDiag pour contrôle , merci

    Double cliques sur le raccourci ZHPDiag sur ton Bureau

    Cliques sur la loupe pour lancer l'analyse.

    si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

    Laisses l'outil travailler, il peut être assez long

    A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Fermes ZHPDiag en fin d'analyse.

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/index.php

    Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

    ou directement en choisissant bureau et ZHPDiag.txt clique dessus

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    et si problème passe par celui ci : https://www.cjoint.com/

    0
  2. Lully
     
    étape 2: ad-remover:

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/01/11 à 19:00
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:41:37 le 14/01/2011, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 2 (X86)
    Joel@SN012345678912 ( )

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Documents and Settings\Joel\Application Data\Mozilla\FireFox\Profiles\jc77cu6c.default\conduit
    Dossier supprimé: C:\Documents and Settings\Joel\Local Settings\Application Data\Conduit
    Dossier supprimé: C:\Program Files\Conduit
    Dossier supprimé: C:\Program Files\Dynamic Toolbar
    Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Viewpoint
    Dossier supprimé: C:\Program Files\Viewpoint
    Dossier supprimé: C:\Documents and Settings\Joel\Application Data\OfferBox
    Dossier supprimé: C:\Program Files\OfferBox

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Documents and Settings\Joel\Application Data\Mozilla\FireFox\Profiles\jc77cu6c.default\Prefs.js --
    Ligne supprimée:
    Ligne supprimée:
    Ligne supprimée: user_pref("CT2613520.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_...
    Ligne supprimée: user_pref("CT2613520.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT261...
    Ligne supprimée: user_pref("CT2613520.ct2613520.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=U...
    Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613520&Sea...
    Ligne supprimée: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613520&q=");
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé supprimée: HKLM\Software\Classes\CLSID\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}
    Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
    Clé supprimée: HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
    Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2613520
    Clé supprimée: HKLM\Software\OfferBox
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKLM\Software\MetaStream
    Clé supprimée: HKLM\Software\Viewpoint
    Clé supprimée: HKCU\Software\OfferBox
    Clé supprimée: HKCU\Software\Conduit
    Clé supprimée: HKCU\Software\Dynamic Toolbar
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox
    Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
    Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

    Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{4E7BD74F-2B8D-469E-A0E8-ED6AB685FA7D}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.13 (fr)] **

    -- C:\Documents and Settings\Joel\Application Data\Mozilla\FireFox\Profiles\jc77cu6c.default\Prefs.js --
    browser.download.lastDir, C:\\Documents and Settings\\Joel\\Mes documents\\Mes images\\baroque
    browser.search.selectedEngine, Yahoo
    browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================

    ** Internet Explorer Version [6.0.2900.2180] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 1
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 118 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 14/01/2011 (1830 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 14/01/2011 (6345 Octet(s))

    Fin à: 23:42:43, 14/01/2011

    ============== E.O.F ==============
    0
  3. Lully
     
    étape 3 : usb fix

    ############################## | UsbFix 7.038 | [Suppression]

    Utilisateur: Joel (Administrateur) # SN012345678912 [ ]
    Mis à jour le 14/01/2011 par El Desaparecido / C_XX
    Lancé à 21:26:25 | 18/01/2011
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Pentium(R) M processor 1.70GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180

    Pare-feu Windows: Activé
    Antivirus: AntiVir Desktop 10.0.1.52 [(!) Disabled | (!) Outdated]
    Firewall: ZoneAlarm Firewall 9.2.091.000 [(!) Disabled]
    RAM -> 502 Mo
    C:\ (%systemdrive%) -> Disque fixe # 85 Go (2 Go libre(s) - 2%) [Disque Dur] # NTFS
    D:\ -> CD-ROM
    F:\ -> Disque fixe # 234 Go (28 Go libre(s) - 12%) [MAXTOR 250] # NTFS

    ################## | Éléments infectieux |

    Supprimé! C:\Recycler\S-1-5-21-3220385205-2911438483-653308432-1006
    Supprimé! F:\Recycler\S-1-5-21-1960408961-583907252-839522115-1003
    Supprimé! F:\Recycler\S-1-5-21-299502267-839522115-854245398-1003
    Supprimé! F:\Recycler\S-1-5-21-3220385205-2911438483-653308432-1006
    Supprimé! F:\Recycler\S-1-5-21-527237240-1343024091-1365081907-500
    Supprimé! F:\Recycler\S-1-5-21-57989841-823518204-725345543-6089
    Supprimé! F:\Recycler\S-1-5-21-839522115-1788223648-725345543-500
    Supprimé! F:\Recycler\S-1-5-21-955046455-4036164967-2552189465-1005
    Supprimé! C:\09lf.exe
    Supprimé! C:\2ul.exe
    Non supprimé ! C:\33r.exe
    Non supprimé ! C:\9keibj.exe
    Non supprimé ! C:\albkpq3.exe
    Non supprimé ! C:\apqpm.exe
    Non supprimé ! C:\autorun.inf
    Non supprimé ! C:\awb3ryk.exe
    Non supprimé ! C:\biriprg.exe
    Non supprimé ! C:\bu8.exe
    Non supprimé ! C:\ca.exe
    Non supprimé ! C:\cbbw88s.exe
    Non supprimé ! C:\cgaqyi.exe
    Non supprimé ! C:\dwh.exe
    Non supprimé ! C:\eer6ril9.exe
    Non supprimé ! C:\egmjjb.exe
    Non supprimé ! C:\f662sjd.exe
    Non supprimé ! C:\g6jk.exe
    Non supprimé ! C:\ggb6w.exe
    Non supprimé ! C:\hc3hvi0.exe
    Non supprimé ! C:\i00dvoym.exe
    Non supprimé ! C:\i8gcgmg.exe
    Non supprimé ! C:\i8ikdjwt.exe
    Non supprimé ! C:\io3yalc.exe
    Non supprimé ! C:\krwyrv0d.exe
    Non supprimé ! C:\l10.exe
    Non supprimé ! C:\mk28sp.exe
    Non supprimé ! C:\n0qls.exe
    Non supprimé ! C:\n6eyw.exe
    Non supprimé ! C:\p6xebrnt.exe
    Non supprimé ! C:\qhbfqx.exe
    Non supprimé ! C:\r3fhr.exe
    Non supprimé ! C:\r3q63rok.exe
    Non supprimé ! C:\rfg.exe
    Non supprimé ! C:\rhwhin.exe
    Non supprimé ! C:\twhvna.exe
    Non supprimé ! C:\utcddeq.exe
    Non supprimé ! C:\vgyn6ewc.exe
    Non supprimé ! C:\vi8f.exe
    Non supprimé ! C:\wa.exe
    Non supprimé ! C:\wkimt.exe
    Non supprimé ! C:\x3xh.exe
    Non supprimé ! C:\xcr.exe
    Non supprimé ! C:\yqq8eqil.exe
    Non supprimé ! F:\09lf.exe
    Non supprimé ! F:\1thes92p.exe
    Non supprimé ! F:\albkpq3.exe
    Supprimé! F:\autorun.inf
    Non supprimé ! F:\awb3ryk.exe
    Non supprimé ! F:\bu8.exe
    Non supprimé ! F:\ca.exe
    Non supprimé ! F:\cgaqyi.exe
    Non supprimé ! F:\g6jk.exe
    Non supprimé ! F:\hc3hvi0.exe
    Non supprimé ! F:\i8ikdjwt.exe
    Non supprimé ! F:\mk28sp.exe
    Non supprimé ! F:\n6eyw.exe
    Non supprimé ! F:\nds0q.exe
    Non supprimé ! F:\p6xebrnt.exe
    Non supprimé ! F:\qhbfqx.exe
    Non supprimé ! F:\w9.exe
    Non supprimé ! F:\wa.exe
    Non supprimé ! F:\wkimt.exe
    Non supprimé ! F:\x3xh.exe
    Non supprimé ! F:\yveqsh93.exe

    ################## | Registre |

    Supprimé! HKLM\Software\Classes\CLSID\MADOWN
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|api32

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1200f348-d1c6-11dc-92c3-00038a000015}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3335e260-05f6-11e0-b37d-00038a000015}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7ae69ed3-7b78-11df-b2fe-00038a000015}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{90772656-8c54-11df-b313-00038a000015}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{ddb6ad40-d261-11db-9570-00038a000015}

    ################## | Listing |

    [23/05/2010 - 07:39:04 | N | 114688] C:\33r.exe
    [03/11/2010 - 20:06:47 | N | 153088] C:\9keibj.exe
    [14/01/2011 - 23:42:45 | N | 6554] C:\Ad-Report-CLEAN[1].txt
    [15/01/2011 - 00:16:04 | N | 2415] C:\Ad-Report-CLEAN[2].txt
    [14/01/2011 - 23:40:30 | N | 6345] C:\Ad-Report-SCAN[1].txt
    [29/10/2010 - 16:58:42 | N | 174592] C:\albkpq3.exe
    [31/01/2008 - 22:08:57 | D ] C:\Applications
    [22/06/2006 - 08:29:30 | D ] C:\APPS
    [31/10/2010 - 11:48:58 | N | 175616] C:\apqpm.exe
    [14/01/2011 - 22:59:12 | N | 0] C:\autorun.inf
    [03/06/2010 - 18:20:12 | N | 116736] C:\awb3ryk.exe
    [29/10/2010 - 12:56:47 | N | 175616] C:\b9v.exe
    [16/07/2010 - 12:11:55 | N | 117760] C:\biriprg.exe
    [22/06/2006 - 08:15:26 | N | 215] C:\BOOT.BAK
    [16/08/2006 - 19:25:55 | N | 296] C:\BOOT.INI
    [05/08/2004 - 13:00:00 | N | 4952] C:\Bootfont.bin
    [29/05/2010 - 08:55:45 | N | 114688] C:\bu8.exe
    [01/05/2010 - 08:49:39 | N | 110592] C:\ca.exe
    [20/08/2006 - 22:01:52 | D ] C:\CABS
    [14/04/2008 - 14:38:43 | D ] C:\CanoScan
    [13/11/2010 - 14:49:47 | N | 179712] C:\cbbw88s.exe
    [31/05/2010 - 23:27:05 | N | 113664] C:\cgaqyi.exe
    [08/11/2006 - 20:55:58 | N | 14926] C:\CLDMA.LOG
    [22/06/2006 - 08:15:31 | D ] C:\cmdcons
    [05/08/2004 - 13:00:00 | N | 263488] C:\cmldr
    [17/11/2007 - 16:51:22 | N | 74] C:\CMLoader.log
    [29/12/2010 - 20:37:30 | D ] C:\Config.Msi
    [31/12/2006 - 14:45:27 | N | 62] C:\dhnp.ist
    [22/06/2006 - 08:19:15 | D ] C:\DIVTOOLS
    [16/05/2009 - 21:11:16 | D ] C:\Documents and Settings
    [16/08/2006 - 22:28:07 | D ] C:\Donnees
    [20/08/2006 - 22:01:50 | D ] C:\DRIVERS
    [10/11/2010 - 13:56:19 | N | 178176] C:\dwh.exe
    [22/06/2006 - 07:43:54 | N | 6152] C:\DWNLOG.TXT
    [20/05/2010 - 17:31:13 | N | 115712] C:\eer6ril9.exe
    [06/11/2010 - 16:25:47 | N | 174592] C:\egmjjb.exe
    [05/02/2009 - 20:22:56 | D ] C:\emme
    [25/05/2010 - 17:35:57 | N | 113152] C:\f662sjd.exe
    [14/03/2007 - 08:49:18 | D ] C:\Fichiers du programme
    [02/07/2010 - 19:22:23 | N | 117248] C:\g6jk.exe
    [12/07/2010 - 09:07:09 | N | 116224] C:\ggb6w.exe
    [18/08/2008 - 11:06:17 | D ] C:\hager
    [25/04/2010 - 08:40:05 | N | 128512] C:\hc3hvi0.exe
    [18/01/2011 - 21:20:06 | ASH | 526569472] C:\hiberfil.sys
    [08/07/2010 - 09:19:04 | N | 105789] C:\hpfr5550.log
    [21/11/2010 - 15:57:16 | N | 178176] C:\i00dvoym.exe
    [13/07/2010 - 20:37:05 | N | 117248] C:\i8gcgmg.exe
    [07/05/2010 - 18:35:43 | N | 111616] C:\i8ikdjwt.exe
    [22/06/2006 - 08:17:06 | N | 0] C:\IO.SYS
    [12/10/2010 - 19:47:31 | N | 157696] C:\io3yalc.exe
    [22/06/2006 - 08:19:15 | N | 844] C:\IPH.PH
    [17/08/2006 - 18:00:26 | D ] C:\Jeux
    [15/06/2010 - 18:41:42 | N | 114688] C:\krwyrv0d.exe
    [04/11/2010 - 18:24:58 | N | 173568] C:\l10.exe
    [20/10/2008 - 13:04:22 | N | 13176] C:\MACDR055.CST
    [30/06/2010 - 08:26:31 | N | 117248] C:\mk28sp.exe
    [22/06/2006 - 08:17:06 | N | 0] C:\MSDOS.SYS
    [22/06/2006 - 08:18:56 | D ] C:\My Music
    [22/06/2006 - 08:27:46 | D ] C:\mysql
    [10/06/2010 - 07:00:45 | N | 117248] C:\n0qls.exe
    [13/05/2010 - 08:09:37 | N | 112640] C:\n6eyw.exe
    [05/08/2004 - 13:00:00 | N | 47564] C:\NTDETECT.COM
    [05/08/2004 - 13:00:00 | N | 251712] C:\NTLDR
    [16/05/2010 - 08:34:41 | N | 112640] C:\p6xebrnt.exe
    [18/01/2011 - 21:20:04 | ASH | 789749760] C:\pagefile.sys
    [22/06/2006 - 07:42:20 | D ] C:\PNP
    [14/01/2011 - 23:42:21 | D ] C:\Program Files
    [10/05/2010 - 17:46:50 | N | 112640] C:\qhbfqx.exe
    [19/04/2010 - 17:07:47 | N | 128512] C:\r3fhr.exe
    [25/10/2010 - 17:31:45 | N | 139264] C:\r3q63rok.exe
    [18/01/2011 - 21:37:31 | SHD ] C:\RECYCLER
    [10/06/2010 - 19:24:48 | N | 116736] C:\rfg.exe
    [19/05/2010 - 07:22:02 | N | 114176] C:\rhwhin.exe
    [11/08/2005 - 08:31:20 | N | 97] C:\SAUDIT.TXT
    [14/01/2011 - 23:03:47 | SHD ] C:\System Volume Information
    [10/11/2010 - 21:23:39 | D ] C:\Temp
    [08/10/2008 - 17:43:24 | D ] C:\TLCWIN
    [31/01/2008 - 22:14:30 | D ] C:\Transfert
    [24/04/2010 - 18:26:09 | N | 128000] C:\twhvna.exe
    [18/01/2011 - 21:37:31 | D ] C:\UsbFix
    [18/01/2011 - 21:37:36 | A | 3365] C:\UsbFix.txt
    [21/04/2010 - 07:34:41 | N | 127488] C:\utcddeq.exe
    [17/11/2007 - 16:55:37 | D ] C:\Utilitaires
    [22/04/2010 - 17:13:28 | N | 128512] C:\vgyn6ewc.exe
    [25/06/2010 - 19:33:32 | N | 116736] C:\vi8f.exe
    [27/05/2010 - 11:55:49 | N | 114176] C:\wa.exe
    [14/01/2011 - 23:45:15 | D ] C:\WINDOWS
    [27/04/2010 - 18:10:12 | N | 110592] C:\wkimt.exe
    [07/07/2010 - 08:59:14 | N | 116736] C:\x3xh.exe
    [17/06/2010 - 06:28:32 | N | 116224] C:\xcr.exe
    [07/06/2010 - 18:27:13 | N | 115200] C:\yqq8eqil.exe
    [01/01/2010 - 16:44:25 | SHD ] F:\$RECYCLE.BIN
    [22/06/2010 - 17:30:56 | N | 117248] F:\09lf.exe
    [04/05/2010 - 22:37:08 | N | 111616] F:\1thes92p.exe
    [29/10/2010 - 16:58:42 | N | 174592] F:\albkpq3.exe
    [01/01/2010 - 17:04:31 | D ] F:\Archives
    [03/06/2010 - 18:20:12 | N | 116736] F:\awb3ryk.exe
    [29/05/2010 - 08:55:45 | N | 114688] F:\bu8.exe
    [01/05/2010 - 08:49:39 | N | 110592] F:\ca.exe
    [08/02/2008 - 21:35:40 | D ] F:\Camescope SONY
    [31/05/2010 - 23:27:05 | N | 113664] F:\cgaqyi.exe
    [27/02/2010 - 22:14:24 | D ] F:\Christophe
    [02/07/2010 - 19:22:23 | N | 117248] F:\g6jk.exe
    [25/04/2010 - 08:40:05 | N | 128512] F:\hc3hvi0.exe
    [07/05/2010 - 18:35:43 | N | 111616] F:\i8ikdjwt.exe
    [10/09/2004 - 11:39:44 | D ] F:\Mes Loisirs
    [01/01/2011 - 18:05:15 | D ] F:\Mes photos
    [06/09/2009 - 18:09:20 | D ] F:\mesdoc2005
    [30/06/2010 - 08:26:31 | N | 117248] F:\mk28sp.exe
    [13/05/2010 - 08:09:37 | N | 112640] F:\n6eyw.exe
    [20/10/2009 - 09:58:44 | N | 115480] F:\nds0q.exe
    [16/05/2010 - 08:34:41 | N | 112640] F:\p6xebrnt.exe
    [29/08/2007 - 09:00:40 | N | 1241190] F:\Photo01_1.jpg
    [10/05/2010 - 17:46:50 | N | 112640] F:\qhbfqx.exe
    [18/01/2011 - 21:37:31 | SHD ] F:\RECYCLER
    [12/07/2006 - 16:33:00 | SHD ] F:\System Volume Information
    [19/02/2010 - 00:53:49 | D ] F:\TECOMAH 2006_2009
    [24/01/2009 - 22:15:26 | ASH | 6656] F:\Thumbs.db
    [14/03/2010 - 18:01:59 | D ] F:\Videos
    [27/11/2010 - 19:43:54 | N | 182272] F:\w9.exe
    [27/05/2010 - 11:55:49 | N | 114176] F:\wa.exe
    [27/04/2010 - 18:10:12 | N | 110592] F:\wkimt.exe
    [07/07/2010 - 08:59:14 | N | 116736] F:\x3xh.exe
    [23/11/2010 - 21:10:02 | N | 181248] F:\yveqsh93.exe

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | E.O.F |
    0
  4. Lully
     
    étape 4:
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5549

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    18/01/2011 22:48:36
    mbam-log-2011-01-18 (22-48-36).txt

    Type d'examen: Examen complet (C:\|D:\|F:\|)
    Elément(s) analysé(s): 234999
    Temps écoulé: 42 minute(s), 27 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 5
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 71

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\King_ar (Spyware.OnlineGames) -> Value: King_ar -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\mirc (Trojan.StartPage) -> Value: mirc -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\HomePage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\HomePage (PUM.Hijack.HomePageControl) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\p6xebrnt.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\qhbfqx.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\r3fhr.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\r3q63rok.exe (Trojan.GamesThief) -> Quarantined and deleted successfully.
    c:\rfg.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\rhwhin.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\twhvna.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\utcddeq.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\vgyn6ewc.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\vi8f.exe (Worm.Magania) -> Quarantined and deleted successfully.
    c:\wa.exe (Worm.Tartef) -> Quarantined and deleted successfully.
    c:\wkimt.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\x3xh.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\xcr.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\33r.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\9keibj.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\albkpq3.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\dwh.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\eer6ril9.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\egmjjb.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\ggb6w.exe (Trojan.Onlinegames) -> Quarantined and deleted successfully.
    c:\hc3hvi0.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\i00dvoym.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\i8gcgmg.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\i8ikdjwt.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\io3yalc.exe (Worm.Magania) -> Quarantined and deleted successfully.
    c:\krwyrv0d.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\l10.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\mk28sp.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\n0qls.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\n6eyw.exe (Worm.Taterf) -> Quarantined and deleted successfully.
    c:\apqpm.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\awb3ryk.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\b9v.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\biriprg.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\bu8.exe (Worm.Tarterf) -> Quarantined and deleted successfully.
    c:\ca.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
    c:\cbbw88s.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\transfert\cyberlink.powerdvd.deluxe.v7.0.1813.multilingual.incl.keymaker-core\CR-PDV70.exe (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\09lf.exe.vir (Worm.Taterf) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\2ul.exe.vir (Worm.Magania) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\Recycler\s-1-5-21-3220385205-2911438483-653308432-1006\dc1.exe.vir (Adware.Hotbar) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\Recycler\s-1-5-21-3220385205-2911438483-653308432-1006\dc4.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\Recycler\s-1-5-21-3220385205-2911438483-653308432-1006\dc5.exe.vir (Adware.Hotbar) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\WINDOWS\system32\arking.exe.vir (Spyware.OnlineGames.Gen) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\WINDOWS\system32\arking0.dll.vir (Spyware.OnlineGames.Gen) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\WINDOWS\system32\arking1.dll.vir (Spyware.OnlineGames.Gen) -> Quarantined and deleted successfully.
    c:\UsbFix\quarantine\C\WINDOWS\system32\mgking1.dll.vir (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\09lf.exe (Worm.Taterf) -> Quarantined and deleted successfully.
    f:\awb3ryk.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\bu8.exe (Worm.Tarterf) -> Quarantined and deleted successfully.
    f:\ca.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
    f:\hc3hvi0.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\mk28sp.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\n6eyw.exe (Worm.Taterf) -> Quarantined and deleted successfully.
    f:\nds0q.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\p6xebrnt.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\qhbfqx.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\w9.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\wa.exe (Worm.Tartef) -> Quarantined and deleted successfully.
    f:\wkimt.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\x3xh.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\yveqsh93.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\i8ikdjwt.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\system volume information\_restore{8bcd17fe-84c4-4a37-9640-8e8d0069e7d4}\RP15\A0010899.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\system volume information\_restore{8bcd17fe-84c4-4a37-9640-8e8d0069e7d4}\RP15\A0010901.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    f:\system volume information\_restore{8bcd17fe-84c4-4a37-9640-8e8d0069e7d4}\RP15\A0010902.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\cgaqyi.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\f662sjd.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\g6jk.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    c:\yqq8eqil.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lully
     
    étape finale ZHPDiag Controle:

    http://www.cijoint.fr/cjlink.php?file=cj201101/cijDQEJDl1.doc

    Par contre à ce jour, lorsque je vais dans ma petite fenêtre de recherche et que le moteur est google, ma page d'accueil par ailleurs, je suis redirigée sur le site : http://www.allysearch.com/ de même lorsque je vais sur ma page d'accueil!

    Mon problème ne semble donc pas résolu!!!!

    Qu'en dis-tu??
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, tu pourrais me poster le rapport de l'étape 1 , merci
      tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

      il te faudra faire de la place sur ton disque dur car la il est plus que plein tu as fait quoi depuis le premier zhpdiag ou tu avais 10go de libre soit 11% et c'était déjà pas suffisant car si tu veux que ton windows fonctionne normalement il faut pour bien faire garder 15 % de libre soit pour toi près de 13go et la sur ton nouveau rapport tu as System drive C: has 0 GB (0%) free of 85 GB alors la c'est la cata toutes les sécurité windows doivent avoir été déactiver comme la restauration système entre autre , et puis je me demande même si tu as bien fais la première chose avec zhpfix , car j'amais mis HOSTFix qui est une commande pour réparrer le fichiers hosts et la je le vois toujours corrompu tu en as la traces ici dans le rapport de zhpdiag ---\\ Redirection du fichier Hosts (O1)

      tu relances zhpfix tu cliques sur le bouton sur droite celui HOSTFix au message qui apparait tu répond NON tu attent et tu me postes le rapport qui devrait être sur ton burau merci
      0
    2. Lully
       
      je recommence alors, en atendant les rapports de l'étape 1 à suivre.
      Je n'ai rien fais de spécial depuis le premier scan sinon télécharger les differents outils je n'ai pa compris non plus pourquoi tout à coup mon disque dur me disait qu'il était plein..
      0
    3. Lully
       
      Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
      Fichier d'export Registre :
      Run by Joel at 19/01/2011 12:24:52
      Windows XP Home Edition Service Pack 2 (Build 2600)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Fichier HOSTS ==========
      Le fichier Hosts est sain


      ========== Récapitulatif ==========
      1 : Fichier HOSTS


      End of the scan
      0
  7. Lully
     
    etape 1:

    http://www.cijoint.fr/cjlink.php?file=cj201101/cij2KXDWaT.txt
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      c'est pas le rapport de l'étape 1 c'est celui de zhpdiag , je te demandais celui de zhpfix qui porte le nom de ZHPFixReport

      et en plus celui que tu me donne de zhpdiag est celui d'avant zhpfix avec HOSTFix si il avait été fait après je pourrais voir si c'est nettoyer ou pas mais la pas possible car il a été fait avant !!!
      0
    2. Lully
       
      Voila ce que j'ai sous ZHPFix Report du bureau:

      Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
      Fichier d'export Registre :
      Run by Joel at 19/01/2011 12:24:52
      Windows XP Home Edition Service Pack 2 (Build 2600)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Fichier HOSTS ==========
      Le fichier Hosts est sain


      ========== Récapitulatif ==========
      1 : Fichier HOSTS


      End of the scan
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      regarde dans program files sous le nom de ZHPFixReport
      0
    4. Lully
       
      Désolée, j'ai du tout redémarrer car monpc a buggé:
      j'ai ceci depuis le fichier ZHPFixReport.txt pris dan c : program files

      Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
      Fichier d'export Registre :
      Run by Joel at 19/01/2011 14:39:30
      Windows XP Home Edition Service Pack 2 (Build 2600)
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr

      ========== Fichier HOSTS ==========
      Le fichier Hosts est sain


      ========== Récapitulatif ==========
      1 : Fichier HOSTS


      End of the scan
      0
  8. Marouzyx Messages postés 17 Statut Membre
     
    Bonjour,
    Excusez-moi de m'introduire dans la conversation mais c'est simplement pour féliciter jacques.gache pour ses explications.
    J'ai également un virus (sans doute Trojan) que j'ai du mal à me séparer. J'ai scanner avec AD.Remover et Malwarebytes. Ce dernier m'a invité à supprimer toutes les "lignes" cochées. Apparemment ça ne me donne pas le résultat escompté.
    Comme je suis en discussion sur autre forum avec une personne très sympa sur le sujet je vais vous laisser travailler.
    En définitive bravo donc à Jacques.gache et puis prenez note de ce que j'ai fait si ça peut vous aider.
    Salutations à tous
    0
  9. Lully
     
    Marouzyx,
    bon courage à toi...et effectivement Jacques.gache m'est d'un grand secours...merci encore !!
    0
  10. Lully
     
    Jacques.gache,
    j'ai supprimé quelques programmes que je n'utilisais plus (dont un nommé bonjour qui me semblait bizarre), j'ai redémarré mon ordi et o miracle je peux à nouveau utiliser ma page d'accueil, et out les programmes google!
    Est ce que cela te semble passager ou bien défintiif?
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      oui si tu n'as plus assé de place sur ton disque dure windows ne peux plus travailler convenablement et cela génère de disfonctionnement sur le pc !!

      peux tu relancer zhpdiag pour que je puisse voire cela et si le fichier hosts est bien nettoyer comme le dis le rapport, merci mais tu lui fais faire la mise à jour pour avoir la dernière version tu suis bien la procédure en bas !!

      Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

      Cliques sur la fléche verte " update" et installe la nouvelle version

      une fois installer lance l'analyse

      Cliques sur la loupe pour lancer l'analyse.

      si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

      Laisses l'outil travailler, il peut être assez long

      A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


      Fermes ZHPDiag en fin d'analyse.


      Pour me le transmettre clique sur ce lien :

      http://www.cijoint.fr/index.php


      Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

      ou directement en choisissant bureau et ZHPDiag.txt clique dessus

      Clique sur Ouvrir.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.


      et si problème passe par celui ci : https://www.cjoint.com/
      0
    2. Lully
       
      http://www.cijoint.fr/cjlink.php?file=cj201101/cij84qu5Hr.txt

      VOICI LE SCAN de ce soir...j'avais déjà retire toutes mes photos vendredi car j'avais eu peur de les perdre, je ne comprends toujours pas pourquoi je n'ai plus d'espace sur le disque....
      J'ai essayé d'installer SP3 et IE8 mais impossible car pas assez d'espace sur le disque
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bizare tu es toujours avec 0go de libre
      System drive C: has 0 GB (0%) free of 85 GB
      
      


      fais moi un rapport d'USBfix pour voir si c'est pas une merde qui trainerais

      * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


      * Télécharges et installes : http://www.teamxscript.org/usbfixTelechargement.html



      (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

      * Double clic sur le raccourci UsbFix présent sur ton bureau .

      * choisis l'option 2 ( Suppression )

      * Ton bureau disparaitra et le pc redémarrera .

      * Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

      * Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

      * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

      ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

      Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
      Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
      Nous vous remercions pour votre contribution.


      . UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

      Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

      Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

      Merci d'avance pour ta contribution !!
      0
    4. Lully
       
      J'ai désinstallé USBfix qui faisait 15621MO et l'ai réinstallé il ne faisait plus que 37,80 MO. Cela explique pourquoi mon disque dur était en trop plein.
      Je l'ai ensuite lancé et cette fois là je n'ai pas rencontré les problèmes de bug que j'avais rencontré en ce début de semaine, à la fin il m'a demandé d'envoyer le fichier zip comme tu me l'as précisé alors que je n'avais rien eu la dernière fois. Je l'ai donc envoyé...

      Voici le rapport:
      ############################## | UsbFix 7.038 | [Suppression]

      Utilisateur: Joel (Administrateur) # SN012345678912 [ ]
      Mis à jour le 14/01/2011 par El Desaparecido / C_XX
      Lancé à 19:17:58 | 19/01/2011
      Site Web: http://www.teamxscript.org
      Contact: eldesaparecido@teamxscript.org

      CPU: Intel(R) Pentium(R) M processor 1.70GHz
      Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 2
      Internet Explorer 6.0.2900.2180

      Pare-feu Windows: Désactivé /!\
      Antivirus: AntiVir Desktop 10.0.1.52 [Enabled | (!) Outdated]
      Firewall: ZoneAlarm Firewall 9.2.091.000 [Enabled]
      RAM -> 502 Mo
      C:\ (%systemdrive%) -> Disque fixe # 85 Go (16 Go libre(s) - 18%) [Disque Dur] # NTFS
      D:\ -> CD-ROM
      F:\ -> Disque fixe # 234 Go (40 Go libre(s) - 17%) [MAXTOR 250] # NTFS

      ################## | Éléments infectieux |


      Supprimé! C:\Recycler\S-1-5-21-3220385205-2911438483-653308432-1006
      Supprimé! F:\Recycler\S-1-5-21-3220385205-2911438483-653308432-1006
      Supprimé! F:\1thes92p.exe
      Supprimé! F:\albkpq3.exe

      ################## | Registre |


      ################## | Mountpoints2 |


      ################## | Listing |

      [14/01/2011 - 23:42:45 | N | 6554] C:\Ad-Report-CLEAN[1].txt
      [15/01/2011 - 00:16:04 | N | 2415] C:\Ad-Report-CLEAN[2].txt
      [14/01/2011 - 23:40:30 | N | 6345] C:\Ad-Report-SCAN[1].txt
      [31/01/2008 - 22:08:57 | D ] C:\Applications
      [22/06/2006 - 08:29:30 | D ] C:\APPS
      [19/01/2011 - 19:14:50 | RASHD ] C:\Autorun.inf
      [22/06/2006 - 08:15:26 | N | 215] C:\BOOT.BAK
      [16/08/2006 - 19:25:55 | N | 296] C:\BOOT.INI
      [05/08/2004 - 13:00:00 | N | 4952] C:\Bootfont.bin
      [20/08/2006 - 22:01:52 | D ] C:\CABS
      [14/04/2008 - 14:38:43 | D ] C:\CanoScan
      [08/11/2006 - 20:55:58 | N | 14926] C:\CLDMA.LOG
      [22/06/2006 - 08:15:31 | D ] C:\cmdcons
      [05/08/2004 - 13:00:00 | N | 263488] C:\cmldr
      [17/11/2007 - 16:51:22 | N | 74] C:\CMLoader.log
      [31/12/2006 - 14:45:27 | N | 62] C:\dhnp.ist
      [22/06/2006 - 08:19:15 | D ] C:\DIVTOOLS
      [19/01/2011 - 12:23:06 | D ] C:\Documents and Settings
      [16/08/2006 - 22:28:07 | D ] C:\Donnees
      [20/08/2006 - 22:01:50 | D ] C:\DRIVERS
      [22/06/2006 - 07:43:54 | N | 6152] C:\DWNLOG.TXT
      [14/03/2007 - 08:49:18 | D ] C:\Fichiers du programme
      [18/08/2008 - 11:06:17 | D ] C:\hager
      [19/01/2011 - 15:18:42 | ASH | 526569472] C:\hiberfil.sys
      [08/07/2010 - 09:19:04 | N | 105789] C:\hpfr5550.log
      [22/06/2006 - 08:17:06 | N | 0] C:\IO.SYS
      [22/06/2006 - 08:19:15 | N | 844] C:\IPH.PH
      [17/08/2006 - 18:00:26 | D ] C:\Jeux
      [20/10/2008 - 13:04:22 | N | 13176] C:\MACDR055.CST
      [22/06/2006 - 08:17:06 | N | 0] C:\MSDOS.SYS
      [22/06/2006 - 08:18:56 | D ] C:\My Music
      [22/06/2006 - 08:27:46 | D ] C:\mysql
      [05/08/2004 - 13:00:00 | N | 47564] C:\NTDETECT.COM
      [05/08/2004 - 13:00:00 | N | 251712] C:\NTLDR
      [19/01/2011 - 15:18:40 | ASH | 789749760] C:\pagefile.sys
      [22/06/2006 - 07:42:20 | D ] C:\PNP
      [19/01/2011 - 19:11:44 | D ] C:\Program Files
      [19/01/2011 - 19:20:13 | SHD ] C:\RECYCLER
      [11/08/2005 - 08:31:20 | N | 97] C:\SAUDIT.TXT
      [14/01/2011 - 23:03:47 | SHD ] C:\System Volume Information
      [10/11/2010 - 21:23:39 | D ] C:\Temp
      [08/10/2008 - 17:43:24 | D ] C:\TLCWIN
      [31/01/2008 - 22:14:30 | D ] C:\Transfert
      [19/01/2011 - 19:20:13 | D ] C:\UsbFix
      [19/01/2011 - 19:20:13 | A | 1060] C:\UsbFix.txt
      [17/11/2007 - 16:55:37 | D ] C:\Utilitaires
      [19/01/2011 - 19:09:59 | D ] C:\WINDOWS
      [01/01/2010 - 16:44:25 | SHD ] F:\$RECYCLE.BIN
      [01/01/2010 - 17:04:31 | D ] F:\Archives
      [18/01/2011 - 21:37:43 | RASHD ] F:\Autorun.inf
      [08/02/2008 - 21:35:40 | D ] F:\Camescope SONY
      [27/02/2010 - 22:14:24 | D ] F:\Christophe
      [10/09/2004 - 11:39:44 | D ] F:\Mes Loisirs
      [01/01/2011 - 18:05:15 | D ] F:\Mes photos
      [06/09/2009 - 18:09:20 | D ] F:\mesdoc2005
      [29/08/2007 - 09:00:40 | N | 1241190] F:\Photo01_1.jpg
      [19/01/2011 - 19:20:13 | SHD ] F:\RECYCLER
      [12/07/2006 - 16:33:00 | SHD ] F:\System Volume Information
      [19/02/2010 - 00:53:49 | D ] F:\TECOMAH 2006_2009
      [24/01/2009 - 22:15:26 | ASH | 6656] F:\Thumbs.db
      [14/03/2010 - 18:01:59 | D ] F:\Videos

      ################## | Vaccin |

      C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
      F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

      ################## | Upload |

      Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_SN012345678912.zip
      http://www.teamxscript.org/Upload.php
      Merci de votre contribution.

      ################## | E.O.F |
      0
    5. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok il as supprimé des choses , quand tu fais clique droit sur ton disque dure système le C et sur propriété il te donne combien , car moi usbfix le donne pour 16go de libre , peux tu poster un dernier zhpdiag pour contrôler , et je pense finaliser le nettoyage , merci

      Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

      Cliques sur la loupe pour lancer l'analyse.

      si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

      Laisses l'outil travailler, il peut être assez long

      A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


      Fermes ZHPDiag en fin d'analyse.


      Pour me le transmettre clique sur ce lien :

      http://www.cijoint.fr/index.php


      Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

      ou directement en choisissant bureau et ZHPDiag.txt clique dessus

      Clique sur Ouvrir.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.


      et si problème passe par celui ci : https://www.cjoint.com/
      0