Virus ou non ?

Question

Bonjour, 

Depuis quelques temps mon PC et ma connexion internet sont très ralenti. Ayant remarqué des dossiers ayant pour nom de longues suites de chiffres, j'ai pensé à
un virus, mais après un scan minutieux de avast, je n'ai rien trouvé. Comment puis-je
savoir si j'ai oui ou non à faire à un virus ?

Configuration: Windows Vista / Firefox 3.6.13

Utilisateur anonyme · Answer

bonjours,

pour une analyse de ton système, fais ceci:

                              ----->ZHPDIAG<-----

/!\ utilisateur de vista et seven, désactiver l'UAC./!\

/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

>  Télécharge zhpdiag (de Nicolas Coolman)

> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

>  /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

> Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

>attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

>  Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni                                          dans ta prochaine réponse sur le forum.
  

@++

TororoYan · Answer

Et voilà :
https://www.cjoint.com/c/2bprJwz4YZR

Utilisateur anonyme · Answer

ok, on va commencer par le commencement... ^^

Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, ...   

                                      ----->AD-REMOVER<-----  

> Télécharge ad-remover(de C_XX) sur ton Bureau  

>Déconnecte toi et ferme toutes les applications en cours   

> Double-clique sur l'icône AD-Remover  

> Au menu principal, clique sur "nettoyer"  

> Confirme le lancement de l'analyse et laisse l'outil travailler  

> Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

TororoYan · Answer

Et re-voilà : ^^
https://www.cjoint.com/c/2bpr6DwLQSb

Utilisateur anonyme · Answer

ok, on continu:

MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections: 

MBAM :  

> Télécharge MBAM  


> Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.  


> Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\   


> A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»  


> Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"  


> L'analyse peut durer un plusieurs heures...  


> Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"  


> Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"  


> Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum  > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI »  »

TororoYan · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5525

Windows 6.0.6001 Service Pack 3
Internet Explorer 7.0.6001.18000

15/01/2011 18:57:43
mbam-log-2011-01-15 (18-57-43).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 309172
Temps écoulé: 52 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost64.exe (Backdoor.Bot) -> Value: svchost64.exe -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\ad-remover\quarantine\C\Windows\system32\f3pssavr.scr.vir (PUP.FunWebProducts) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

ok, peut tu me refaire un zhpdiag pour voir ce qui nous reste a faire: refais ceci: 

https://forums.commentcamarche.net/forum/affich-20537201-virus-ou-non#1

TororoYan · Answer

Et re-re-voilà :
https://www.cjoint.com/c/2bptgcVwrOf

Utilisateur anonyme · Answer

* UsbFix est un programme spécifique , son rôle est la suppression d'infection se propageant via les supports amovibles
* Il rétablit certaines fonctions de sécurité endommagées, comme l'accès au registre, au gestionnaire des tâches, à l'affichage des fichiers cachés etc . 

                                ----->USBFIX<----- 

> Télécharge http://www.teamxscript.org/too/UsbFix.exe (créé par El Desaparecido & C_XX) 

> /!\Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

> Branche (si possible) toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

> Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement

> Clique sur Recherche 

> Laisse travailler l'outil /!\ le scan peut rester un long moment sur 48%, il n'est pas bloquer, ne quitte pas, il faudrait tout recommencer.../!\

> A la fin, le bloc note s'ouvre avec le rapport, sélectionne le (Ctrl+A) copie le (Ctrl+C) et colle le dans ta prochaine réponse (Ctrl+V)

TororoYan · Answer

############################## | UsbFix 7.038 | [Recherche]

Utilisateur: Hugo (Administrateur) # PC-DE-HUGO [Acer Aspire X1700]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 10:29:27 | 16/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
CPU 2: Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-Bit) # Service Pack 3
Internet Explorer 7.0.6001.18000

Pare-feu Windows: Désactivé /!\
RAM -> 3070 Mo 
C:\ (%systemdrive%) -> Disque fixe # 457 Go (322 Go libre(s) - 70%) [ACER] # NTFS
D:\ -> Disque fixe # 461 Go (281 Go libre(s) - 61%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque amovible # 8 Go (8 Go libre(s) - 100%) [CLÉ HUGO] # FAT32
I:\ -> CD-ROM
J:\ -> CD-ROM
K:\ -> CD-ROM
L:\ -> CD-ROM
M:\ -> CD-ROM
N:\ -> CD-ROM
O:\ -> Disque amovible # 7 Go (1 Go libre(s) - 14%) [IPOD (HUGO)] # FAT32
Y:\ -> CD-ROM

################## | Éléments infectieux |


Présent! C:\Windows\system32	empBatFile.bat
Présent! C:	mp

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\K
Shell\AutoRun\Command = K:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{0c4de5ad-579f-11df-b7a7-002197420e21}
Shell\AutoRun\Command = G:\iStudio.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{4cd2b4cf-eed6-11dd-a233-002197420e21}
Shell\AutoRun\Command = H:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{56b5fa2c-84d9-11df-bf5b-002197420e21}
Shell\AutoRun\Command = Y:\Autorun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{57572bda-97c4-11de-a8dd-002197420e21}
Shell\AutoRun\Command = K:\Autorun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{d31152fb-1fb5-11e0-8bdc-002197420e21}
Shell\AutoRun\Command = "G:\WD SmartWare.exe" autoplay=true

HKCU\.\.\.\.\Explorer\MountPoints2\{f595de4b-ed35-11dd-955b-002197420e21}
Shell\Auto\Command = wscript "esta ig.vbs"
Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript "esta ig.vbs"


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Utilisateur anonyme · Answer

ok, je m'inquiètes peut être a tord mais, fais ceci:

&#9654 rend toi sur virus total

&#9654 clique sur parcourir 

&#9654 dans la nouvelle fenetre, copie colle ceci:

&#9654 C:\Windows\system32\winlogon.exe

&#9654 clique sur ouvrir

&#9654 attend la fin du scan puis, donne moi le lien internet des résultats .

-------------------------------------------------------------------------------------------------------


&#9830 refais la même opération avec 


&#9830 C:\Windows\winlogon.exe

TororoYan · Answer

Virus Total n'indique rien de particulier. 
http://www.virustotal.com/file-scan/report.html?id=ec983e197c7da467efc98c42b43e34b1b437405f6b51678dab9f7f3400ea62fe-1295174526
C:\Windows\winlogon.exe n'existe apparemment pas ! ^^

Utilisateur anonyme · Answer

ok, passe a la suppression avec usbfix s'il te plait.

TororoYan · Answer

C'est fait.
Le rapport :

############################## | UsbFix 7.038 | [Suppression]

Utilisateur: Hugo (Administrateur) # PC-DE-HUGO [Acer Aspire X1700]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 12:22:29 | 16/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
CPU 2: Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-Bit) # Service Pack 3
Internet Explorer 7.0.6001.18000

Pare-feu Windows: Désactivé /!\
RAM -> 3070 Mo 
C:\ (%systemdrive%) -> Disque fixe # 457 Go (323 Go libre(s) - 71%) [ACER] # NTFS
D:\ -> Disque fixe # 461 Go (281 Go libre(s) - 61%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Disque amovible # 8 Go (8 Go libre(s) - 100%) [CLÉ HUGO T] # FAT32
I:\ -> CD-ROM
J:\ -> CD-ROM
K:\ -> CD-ROM
L:\ -> CD-ROM
M:\ -> CD-ROM
N:\ -> CD-ROM
Y:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\Windows\system32	empBatFile.bat
Supprimé! C:\$RECYCLE.BIN\S-1-5-20
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3111458835-3052962557-2577522370-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-1001
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-1002
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-1003
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-500
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-501
Supprimé! D:\$RECYCLE.BIN\S-1-5-20
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-1002
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3471878613-1772289560-1970459149-1003
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-524952369-3545787172-141571195-500
Supprimé! C:	mp

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\K
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0c4de5ad-579f-11df-b7a7-002197420e21}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4cd2b4cf-eed6-11dd-a233-002197420e21}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{56b5fa2c-84d9-11df-bf5b-002197420e21}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{d31152fb-1fb5-11e0-8bdc-002197420e21}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{f595de4b-ed35-11dd-955b-002197420e21}

################## | Listing |

[16/01/2011 - 12:23:03 | SHD ] 	C:\$RECYCLE.BIN
[03/01/2009 - 12:47:39 | D ] 	C:\ACER
[02/01/2011 - 16:20:56 | D ] 	C:\ACERSW
[18/09/2006 - 22:43:36 | N | 24] 	C:\autoexec.bat
[28/10/2008 - 03:45:33 | D ] 	C:\Boot
[21/01/2008 - 03:24:42 | RASH | 333203] 	C:\bootmgr
[18/09/2006 - 22:43:37 | N | 10] 	C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] 	C:\Documents and Settings
[16/01/2011 - 10:22:21 | ASH | 3220340736] 	C:\hiberfil.sys
[29/08/2009 - 20:46:20 | N | 0] 	C:\IO.SYS
[29/08/2009 - 20:46:20 | N | 0] 	C:\MSDOS.SYS
[16/01/2011 - 10:22:20 | ASH | 3534036992] 	C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] 	C:\PerfLogs
[15/01/2011 - 19:08:51 | D ] 	C:\Program Files
[15/01/2011 - 18:03:08 | D ] 	C:\ProgramData
[29/05/2010 - 12:57:45 | D ] 	C:\Root
[16/01/2011 - 10:41:32 | SHD ] 	C:\System Volume Information
[18/04/2009 - 18:07:51 | D ] 	C:\TEMP
[07/11/2009 - 10:37:38 | D ] 	C:	otalcmd
[16/01/2011 - 12:23:03 | D ] 	C:\UsbFix
[16/01/2011 - 12:22:01 | A | 3627] 	C:\UsbFix.txt
[19/12/2010 - 12:47:45 | D ] 	C:\Users
[15/01/2011 - 19:01:19 | D ] 	C:\Windows
[16/01/2011 - 12:23:03 | SHD ] 	D:\$RECYCLE.BIN
[09/01/2011 - 18:30:42 | D ] 	D:\Documents
[15/01/2011 - 16:58:18 | D ] 	D:\Films
[14/01/2011 - 10:35:04 | D ] 	D:\Images
[16/01/2011 - 10:50:58 | D ] 	D:\iPod Photo Cache
[14/01/2011 - 21:27:08 | D ] 	D:\Jeux
[15/01/2011 - 14:48:07 | D ] 	D:\Musiques
[14/01/2011 - 10:28:34 | D ] 	D:\Photos
[02/06/2008 - 11:41:54 | SHD ] 	D:\System Volume Information
[15/01/2011 - 14:45:40 | D ] 	D:\Séries
[14/01/2011 - 09:48:26 | D ] 	D:\Téléchargements en cours
[05/04/2010 - 20:00:26 | D ] 	G:\FOUND.000
[28/12/2010 - 13:05:42 | N | 529254] 	G:\Sans titre 1.bmp
[14/11/2010 - 17:56:44 | N | 143] 	G:\.~lock.SES.odt#

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-HUGO.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Utilisateur anonyme · Answer

ok, je penses qu'on a presque tout désinfecter: refais ceci:https://forums.commentcamarche.net/forum/affich-20537201-virus-ou-non#1

++

TororoYan · Answer

http://cjoint.com/data/0bqnwUsTURd.htm

Utilisateur anonyme · Answer

* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------

O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} . (.Pas de propriétaire - Pas de description.) -- (.not file.)    

[MD5.0FB9A2A933E09102ABFC805A34487BD8] [SRI] (.F4 - Installation Helper.) -- C:\ProgramData\F4\IHelper.exe   [21200] 

OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe

OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe

OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe

OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter]  oobefldr.dll

OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter]  oobefldr.dll

OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe

OPT:SS - | Auto 27/07/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe


---------------------------------------------------

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
* poste moi le rapport générer. S

Tororoyan · Answer

Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-16-01-2011-18-03-46.txt
Run by Hugo at 16/01/2011 18:03:46
Windows Vista Home Premium Edition, 32-bit Service Pack 3 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\ProgramData\F4\IHelper.exe [21200]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  => Clé supprimée avec succès
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé supprimée avec succès
SS - | Auto 27/07/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé absente

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès


========== Récapitulatif ==========
1 : Processus mémoire
3 : Clé(s) du Registre
6 : Valeur(s) du Registre

Utilisateur anonyme · Answer

MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections: 

MBAM :  

&#9635 Télécharge MBAM  


&#9635 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.  


&#9635 Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\   


&#9635 A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»  


&#9635 Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"  


> L'analyse peut durer un plusieurs heures...  


&#9635 Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"  


&#9635 Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"  


&#9635 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum  > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI »  »

TororoYan · Answer

En attendant, c'est "normal" que la place disponible sur mon disque dur C: diminue régulièrement ??? (Je me doute bien que ça ne l'est pas trop...)

TororoYan · Answer

Ca m'inquiète, il n'a rien trouvé...

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5525

Windows 6.0.6001 Service Pack 3
Internet Explorer 7.0.6001.18000

16/01/2011 19:50:04
mbam-log-2011-01-16 (19-50-04).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 297875
Temps écoulé: 52 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

ok, télécharge ceci
execute le, ca va limiter la place de la restauration système sur ton DD.

TororoYan · Answer

Avant j'aimerais savoir combien de temps ça devrait me prendre de me débarrasser des toutes les infections de mon PC, si tu en as une idée, s'il te plait...

Utilisateur anonyme · Answer

heu...
comme ca, je sais pas, fais un zhpdiag comme au debut que je vois ce qui reste comme infection ;)

TororoYan · Answer

Ok, voilà :
http://cjoint.com/data/0brsLUuypHA.htm

Utilisateur anonyme · Answer

y'en a plus pour longtemps... 


dis moi comment se comporte le pc...?  
toujours des soucies? 
&#9654&#9654&#9654 CONTRIBUTEUR SÉCURITÉ &#9664&#9664&#9664  

Qualification Helper sur HELPER FORMATION.

TororoYan · Answer

Mis à part la place disponible sur mon disque dur qui diminue constamment, ça va ! ^^

Le rapport :

Rapport de ZHPFix 1.12.3237 par Nicolas Coolman, Update du 12/01/2011
Fichier d'export Registre : 
Run by Hugo at 17/01/2011 22:17:08
Windows Vista Home Premium Edition, 32-bit Service Pack 3 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\ProgramData\F4\EoS-Launcher.exe [478904]  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Processus mémoire


End of the scan

Utilisateur anonyme · Answer

ok... la place du DD continu a diminuer... 
je vais voir avec les collègues a quoi cela peut être du car, ton pc n'est plus infecter...

Utilisateur anonyme · Answer

bonjours! 

on va essayer comme ceci:

rend toi ici pour voir ce que l'on va faire 

télécharge DriveSize
exécute le puis, donne moi les fichier les plus volumineux du pc stp.

merci ;)

TororoYan · Answer

Bon, alors là... 
Je viens de faire une restauration du système parce que tout bug : 
-Je ne peux ouvrir Firefox qu'une seule fois, après il refuse de s'ouvrir et reste dans les processus actifs, et je ne peux pas stopper le processus)
-iTunes ne permet plus la synchro avec mon iPod (qui n'a depuis peu plus de système d'exploitation...) 
-Mon ordi rame comme pas possible 
-Windows fonctionne mal (tentative d'allocation du même emplacement de mémoire à deux programmes, ce qui m'a obligé à couper le courant, même appuyer sur l'interrupteur 5 secondes n'a rien changé...) 
-Impossibilité de désinstaller certains programmes en mode sans échec, etc.. 

Bref !

Utilisateur anonyme · Answer

ya pas mal de merdes là!! 

MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections: 

MBAM :  

&#9635 Télécharge MBAM  


&#9635 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.  


&#9635 Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\   


&#9635 A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»  


&#9635 Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"  


> L'analyse peut durer un plusieurs heures...  


&#9635 Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"  


&#9635 Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"  


&#9635 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum  > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI »  »

TororoYan · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5566

Windows 6.0.6001 Service Pack 3
Internet Explorer 7.0.6001.18000

21/01/2011 22:48:33
mbam-log-2011-01-21 (22-48-33).txt

Type d'examen: Examen complet (C:\|D:\|G:\|)
Elément(s) analysé(s): 304120
Temps écoulé: 1 heure(s), 38 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 65
Valeur(s) du Registre infectée(s): 9
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1E0DE227-5CE4-4ea3-AB0C-8B03E1AA76BC} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{07B18EA0-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{07B18EAA-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{0D26BC71-A633-4E71-AD31-EADC3A1B6A3A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25E} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{29D67D3C-509A-4544-903F-C8C1B8236554} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2E3537FC-CF2F-4F56-AF54-5A6A3DD375CC} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{3E720450-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3E720451-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{7473D290-B7BB-4F24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7473D291-B7BB-4F24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{8CA01F0E-987C-49C3-B852-2F1AC4A7094C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1093995A-BA37-41D2-836E-091067C4AD17} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{8E6F1830-9607-4440-8530-13BE7C4B1D14} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{63D0ED2B-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{C8CECDE3-1AE1-4C4A-AD82-6D5B00212144} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{17DE5E5E-BFE3-4E83-8E1F-8755795359EC} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{D518921A-4A03-425E-9873-B9A71756821E} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{E47CAEE0-DEEA-464A-9326-3F2801535A4D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3E1656ED-F60E-4597-B6AA-B6A58E171495} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{E79DFBC0-5697-4FBD-94E5-5B2A9C7C1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{F42228FB-E84E-479E-B922-FBBD096E792C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6E74766C-4D93-4CC0-96D1-47B8E07FF9CA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3E720452-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7473D294-B7BB-4f24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98D9753D-D73B-42D5-8C85-4469CDA897AB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E79DFBCA-5697-4fbd-94E5-5B2A9C7C1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Outlook\Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Word\Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MyWebSearchService (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44cf-8957-5838F569A31D} (Adware.MyWebSearch) -> Value: {00A6FAF6-072E-44cf-8957-5838F569A31D} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{00A6FAF6-072E-44cf-8957-5838F569A31D} (Adware.MyWebSearch) -> Value: {00A6FAF6-072E-44cf-8957-5838F569A31D} -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Value: {07B18EA9-A523-4961-B6BB-170DE4475CCA} -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> Value: (default) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources\f3PopularScreensavers (Adware.MyWebSearch) -> Value: f3PopularScreensavers -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform\FunWebProducts (Adware.MyWebSearch) -> Value: FunWebProducts -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\System32\f3PSSavr.scr (Trojan.Agent) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, ...   

                                      ----->AD-REMOVER<-----  

&#9640 Télécharge ad-remover(de C_XX) sur ton Bureau  

&#9640 Déconnecte toi et ferme toutes les applications en cours   

&#9640 Double-clique sur l'icône AD-Remover  

&#9640 Au menu principal, clique sur "rechercher"  

&#9640 Confirme le lancement de l'analyse et laisse l'outil travailler  

&#9640 Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

TororoYan · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 23:20:57 le 21/01/2011, Mode sans echec

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 3 (X86) 
Hugo@PC-DE-HUGO (Acer Aspire X1700) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\Users\Hugo\AppData\LocalLow\MyWebSearch

-- Fichier ouvert: C:\Users\Hugo\AppData\Roaming\Mozilla\FireFox\Profiles\iwg82mcp.default\Prefs.js --
Ligne trouvée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&Sea... 
Ligne trouvée: user_pref("extensions.snipit.askTbInstalled", true); 
-- Fichier Fermé --
 

Clé trouvée: HKLM\Software\Classes\Interface\{07B18EAC-A523-4961-B6BB-170DE4475CCA}
Clé trouvée: HKLM\Software\Classes\Interface\{120927BF-1700-43BC-810F-FAB92549B390}
Clé trouvée: HKLM\Software\Classes\Interface\{1F52A5FA-A705-4415-B975-88503B291728}
Clé trouvée: HKLM\Software\Classes\Interface\{247A115F-06C2-4FB3-967D-2D62D3CF4F0A}
Clé trouvée: HKLM\Software\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
Clé trouvée: HKLM\Software\Classes\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}
Clé trouvée: HKLM\Software\Classes\Interface\{3E720453-B472-4954-B7AA-33069EB53906}
Clé trouvée: HKLM\Software\Classes\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}
Clé trouvée: HKLM\Software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
Clé trouvée: HKLM\Software\Classes\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé trouvée: HKLM\Software\Classes\Interface\{7473D295-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé trouvée: HKLM\Software\Classes\Interface\{7473D297-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé trouvée: HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
Clé trouvée: HKLM\Software\Classes\Interface\{90449521-D834-4703-BB4E-D3AA44042FF8}
Clé trouvée: HKLM\Software\Classes\Interface\{991AAC62-B100-47CE-8B75-253965244F69}
Clé trouvée: HKLM\Software\Classes\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}
Clé trouvée: HKLM\Software\Classes\Interface\{BBABDC90-F3D5-4801-863A-EE6AE529862D}
Clé trouvée: HKLM\Software\Classes\Interface\{D6FF3684-AD3B-48EB-BBB4-B9E6C5A355C1}
Clé trouvée: HKLM\Software\Classes\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}
Clé trouvée: HKLM\Software\Classes\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}
Clé trouvée: HKLM\Software\Classes\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}
Clé trouvée: HKLM\Software\Classes\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}
Clé trouvée: HKLM\Software\Classes\Interface\{EB9E5C1C-B1F9-4C2B-BE8A-27D6446FDAF8}
Clé trouvée: HKLM\Software\Classes\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}
Clé trouvée: HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
Clé trouvée: HKLM\Software\Classes\Conduit.Engine
Clé trouvée: HKLM\Software\Classes\Toolbar.CT2851639
Clé trouvée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
Clé trouvée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKCU\Software\AppDataLow\Software\Fun Web Products
Clé trouvée: HKCU\Software\AppDataLow\Software\MyWebSearch
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\Hugo\AppData\Roaming\Mozilla\FireFox\Profiles\iwg82mcp.default\Prefs.js --
browser.download.dir, C:\Users\Hugo\Downloads
browser.search.defaulturl, hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&SearchSource=3&q={searchTerms}
browser.startup.homepage, hxxp://www.google.com/
browser.startup.homepage_override.mstone, rv:1.9.2.13

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\ee5pp832.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [7.0.6001.18000] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=1&o=vp32&d=1006&m=aspire_x1700
Do404Search: 0x01000000
Enable Browser Extensions: yes
First Home Page: hxxp://y.lo.st
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Show_ToolBar: yes
Start Page: hxxp://search.conduit.com?SearchSource=10&ctid=CT2851639
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page: hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=1&o=vp32&d=1006&m=aspire_x1700
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: hxxp://y.lo.st
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 21/01/2011 (5717 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 21/01/2011 (0 Octet(s)) 

Fin à: 23:21:26, 21/01/2011 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

ok, passe a la suppression: onglet "nettoyage"

TororoYan · Answer

Et un petit rapport :

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 23:32:55 le 21/01/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 3 (X86) 
Hugo@PC-DE-HUGO (Acer Aspire X1700) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Users\Hugo\AppData\LocalLow\MyWebSearch

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Hugo\AppData\Roaming\Mozilla\FireFox\Profiles\iwg82mcp.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2851639&Sea... 
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\Interface\{07B18EAC-A523-4961-B6BB-170DE4475CCA}
Clé supprimée: HKLM\Software\Classes\Interface\{120927BF-1700-43BC-810F-FAB92549B390}
Clé supprimée: HKLM\Software\Classes\Interface\{1F52A5FA-A705-4415-B975-88503B291728}
Clé supprimée: HKLM\Software\Classes\Interface\{247A115F-06C2-4FB3-967D-2D62D3CF4F0A}
Clé supprimée: HKLM\Software\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
Clé supprimée: HKLM\Software\Classes\Interface\{3E53E2CB-86DB-4A4A-8BD9-FFEB7A64DF82}
Clé supprimée: HKLM\Software\Classes\Interface\{3E720453-B472-4954-B7AA-33069EB53906}
Clé supprimée: HKLM\Software\Classes\Interface\{63D0ED2D-B45B-4458-8B3B-60C69BBBD83C}
Clé supprimée: HKLM\Software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
Clé supprimée: HKLM\Software\Classes\Interface\{7473D293-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé supprimée: HKLM\Software\Classes\Interface\{7473D295-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé supprimée: HKLM\Software\Classes\Interface\{7473D297-B7BB-4F24-AE82-7E2CE94BB6A9}
Clé supprimée: HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}
Clé supprimée: HKLM\Software\Classes\Interface\{90449521-D834-4703-BB4E-D3AA44042FF8}
Clé supprimée: HKLM\Software\Classes\Interface\{991AAC62-B100-47CE-8B75-253965244F69}
Clé supprimée: HKLM\Software\Classes\Interface\{A626CDBD-3D13-4F78-B819-440A28D7E8FC}
Clé supprimée: HKLM\Software\Classes\Interface\{BBABDC90-F3D5-4801-863A-EE6AE529862D}
Clé supprimée: HKLM\Software\Classes\Interface\{D6FF3684-AD3B-48EB-BBB4-B9E6C5A355C1}
Clé supprimée: HKLM\Software\Classes\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}
Clé supprimée: HKLM\Software\Classes\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25F}
Clé supprimée: HKLM\Software\Classes\Interface\{E79DFBC9-5697-4FBD-94E5-5B2A9C7C1612}
Clé supprimée: HKLM\Software\Classes\Interface\{E79DFBCB-5697-4FBD-94E5-5B2A9C7C1612}
Clé supprimée: HKLM\Software\Classes\Interface\{EB9E5C1C-B1F9-4C2B-BE8A-27D6446FDAF8}
Clé supprimée: HKLM\Software\Classes\Interface\{F87D7FB5-9DC5-4C8C-B998-D8DFE02E2978}
Clé supprimée: HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2851639
Clé supprimée: HKLM\Software\Classes\AppID\EoRezoBHO.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{362A53B2-2913-4F8A-82F5-7E0A23FDC6F9}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\Fun Web Products
Clé supprimée: HKCU\Software\AppDataLow\Software\MyWebSearch
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Users\Hugo\AppData\Roaming\Mozilla\FireFox\Profiles\iwg82mcp.default\Prefs.js --
browser.download.dir, C:\Users\Hugo\Downloads
browser.startup.homepage, hxxp://www.google.com/
browser.startup.homepage_override.mstone, rv:1.9.2.13

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\ee5pp832.default\Prefs.js --
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [7.0.6001.18000] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 3 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 18 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 21/01/2011 (5621 Octet(s)) 
C:\Ad-Report-SCAN[1].txt - 21/01/2011 (5717 Octet(s)) 
C:\Ad-Report-SCAN[2].txt - 21/01/2011 (5773 Octet(s)) 

Fin à: 23:33:58, 21/01/2011 
 
============== E.O.F ==============

TororoYan · Answer

J'ai vérifié les processus actifs, et il me semble que certaines choses ne sont pas normales, notamment csrss.exe, qui est lancé deux fois, et qui, comme je l'ai vu sur internet, est un programme de windows mais peut aussi être un trojan (De plus, il y a une faute d'orthographe dans la description -executtion- qui ne fait pas très "windows" ! ^^). De plus, il y a deux csrss.exe différents sur mon disque, un dans C:\Windows\System 32 et un autre de la même taille dans C:\Windows\winsxs\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_58e3e3d7e415ae4c.

Utilisateur anonyme · Answer

nouveau zhpdiag: >  /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

&#9654 Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

&#9654 attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

&#9654 Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni                                          dans ta prochaine réponse sur le forum.
  

@++

TororoYan · Answer

Et voilà !
http://cjoint.com/data/0bwmrEhvuqR.htm

Utilisateur anonyme · Answer

* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  


[MD5.0FB9A2A933E09102ABFC805A34487BD8] [SRI] (.F4 - Installation Helper.) -- C:\ProgramData\F4\IHelper.exe   [21200]  

[HKCU\Software\AppDataLow\Software\uTorrentBar_FR]  

---------------------------------------------------

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
* poste moi le rapport générer. S

TororoYan · Answer

Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre : 
Run by Hugo at 22/01/2011 12:28:29
Windows Vista Home Premium Edition, 32-bit Service Pack 3 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\ProgramData\F4\IHelper.exe [21200]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O2 - BHO: EoBHO - {C7B76B90-3455-4AE6-A752-EAC4D19689E5} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\uTorrentBar_FR  => Clé supprimée avec succès


========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé(s) du Registre


End of the scan

Utilisateur anonyme · Answer

ok, relance zhpfix:

* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter]  oobefldr.dll

OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter]  oobefldr.dll

OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe

OPT:SR - | Auto 07/10/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe

O44 - LFC:[MD5.8163BA9A46A008EE6A9A4AE284654480] - 22/01/2011 - 12:10:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-CLEAN[2].txt   [2536]    

O44 - LFC:[MD5.7A33FA0754F6D3E6A4C72D179C25587D] - 22/01/2011 - 12:09:27 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Ad-Report-SCAN[5].txt   [2434] 
---------------------------------------------------

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
* poste moi le rapport générer. S

TororoYan · Answer

Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011 
Fichier d'export Registre :  
Run by Hugo at 22/01/2011 12:31:00 
Windows Vista Home Premium Edition, 32-bit Service Pack 3 (Build 6001) 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 

========== Clé(s) du Registre ========== 
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé supprimée avec succès 

========== Valeur(s) du Registre ========== 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès 
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès 
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès 

========== Fichier(s) ========== 
c:\ad-report-clean[2].txt  => Supprimé et mis en quarantaine 
c:\ad-report-scan[5].txt  => Supprimé et mis en quarantaine 


========== Récapitulatif ========== 
1 : Clé(s) du Registre 
3 : Valeur(s) du Registre 
2 : Fichier(s) 


End of the scan 



Juste une petit question, si la réponse n'est pas trop complexe... Pourquoi supprimer les rapports de AD-Remover, un exe de apple et un exe de Adobe ? O_o ?

Utilisateur anonyme · Answer

ca supprime les rapports ad-remover parce qu'on s'en fou royalement maintenant.

pour adobe, ca ne supprime pas le logiciel ni même l'exe tkt. c'est pour "optimiser" ton pc.

TororoYan · Answer

Et le .dll est un fichier important de windows, qu'est ce qu'on lui fait, au juste ??

TororoYan · Answer

Voilà :
http://cjoint.com/data/0bwmRPTs7kn.htm

Et csrss.exe en double et dans un répertoire où il ne devrait pas être, j'en fais quoi ? C'est normal ?

Utilisateur anonyme · Answer

&#9775 rend toi sur ce site: https://www.virustotal.com/gui/

&#9775 clic sur parcourir puis, copie colle ceci:

&#9775 C:\Windows\système32\csrss.exe

&#9775 clic sur  ouvrir  puis, sur "send file"

&#9775 attend la fin du scan et donne moi le lien des resultas.

refais pareil avec : C:\Windows\winsxs\x86_microsoft-windows-csrss_31bf3856ad364e35_6.0.6001.18000_none_58e3e3d7e415ae4c

TororoYan · Answer

Je l'ai déjà fait, ça ne donne rien...

http://www.virustotal.com/file-scan/report.html?id=cf48e43b33b14234f5004f9f3bf0d973b17a501108f39fb42cf9548fd2124960-1295697578

http://www.virustotal.com/file-scan/report.html?id=cf48e43b33b14234f5004f9f3bf0d973b17a501108f39fb42cf9548fd2124960-1295697472

Utilisateur anonyme · Answer

bon bah alors...? 42 antivirus qui te disent que les fichiers sont clean, ca suffit pas...? ^^ pour la fin: Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan. Autrement, installes-le, c'est un antimalware très efficace. Tu trouveras un tuto complet Ici 1- Nous allons mettre à jour ton pc. Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant. 1ère étape : Java ▨ Télécharge JavaRa puis décompresse le sur ton bureau. ▨ Ouvre le dossier JavaRa puis exécute JavaRa.exe. ▨ Clique sur "Search For Updates". ▨ Sélectionne "Update Using jucheck.exe" puis clique sur "Search". ▨ Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation. ▨ Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions". ▨ Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ". ▨ Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message. /!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à Cette adresse puis passe directement à la partie " Remove Older Versions " /!\ 2ème étape : Adobe Reader ▶ Si tu utilises adobe reader, il est important qu'il soit à jour. ▶ Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir ici ) ▶ Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour] 3ème étape : Mise à jour des logiciels ☯ Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker. ☯ Télécharge le Ici ☯ Un tutoriel pour son utilisation est disponible Ici. 2- Vacciner les supports amovibles ▨ Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent. ▨ Télécharge USBfix puis lance le. (Clique droit/Exéuter en tent qu'administrateur pour Vista/7). ▨ Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner]. ▨ Appuie sur [Ok] au message de confirmation. ▨ Une fois la vaccination terminée, relance usbfix et choisis l'option désinstaller. Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif ) 3- DelFix > Télécharge DelFix sur ton bureau. > Lance le. > Clique sur Supression puis valide en appuyant sur [Entrée]. > Patiente pendant le scan jusqu'à l'ouverture du rapport. > Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFixSearch 4- Optimisation 1ère étape : Suppression des fichiers inutiles > Télécharge CCleaner > Installe le, puis lance le. > Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ". > Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer]. > Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées. > Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression ) > Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer] > Tu peux renouveller ces opérations tous les jours. 2ème étape : Défragmentation Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs. > Télécharge Defraggler. > Un tutoriel pour son utilisation est disponible Ici. 3ème étape : Vérification des disques > Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ ) > Clique sur [Propriété] puis sur l'onglet [Outils] > Clique sur [Vérifier maintenant] puis coche les deux cases présentes. > Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage ) 4ème étape : Désactivation des programmes au démarrage > Clique sur [Démarrer] puis [Exécuter]. > Tape msconfig et valide par [ok]. > A l'onglet [Démarrage] , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu. > Clique sur [Appliquer] puis [ok] et redémarre ton PC. 4- Purge de la restauration système La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. > Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. > Tutoriels : - Windows XP - Windows Vista - Windows 7 5- UAC ( Uniquement pour Vista/Seven ) Si tu as désactivé l'UAC, il est important de la réactiver. -> Pourquoi garder l'UAC activée? 6- Security Check Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme. > Télécharge Security Check ( de Screen317 ) sur ton bureau. > Lance le, patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse. > Une fois le rapport posté, tu peux supprimer Security Check. 7- Liens utiles Ces liens sont en rapport direct avec la sécurité de ton PC. Prends le temps de les lire pour comprendre pourquoi tu as été infecté. - Les dangers du P2P - La sécurité de son PC, c'est quoi? - Sécuriser son ordinateur - Pourquoi maintenir son navigateur à jour? - Les toolbars c'est pas obligatoire - comment éviter bien des infections - logiciels de sécurité recommander

TororoYan · Answer

J'ai cherché sur mon disque, je n'ai pas trouvé le rapport DelFixSearch, j'ai téléchargé la dernière version de java, aucun rapport ne s'est affiché après l'installation, j'ai fait tout le reste.
Le seul rapport, celui de Security Check :

 Results of screen317's Security Check version 0.99.8  
 Windows Vista Service Pack 3 [color=red][b](UAC is disabled!)[/b][/color] 
 [url=https://support.microsoft.com/en-us/windows/install-windows-vista-service-pack-2-sp2-468d1d75-4f9b-0855-6900-47d65cbdac1b][color=red][b]Out of date service pack!![/color][/url][/b] 
 Internet Explorer 7 [color=red][b]Out of date![/b][/color] 
[b]'''''''''''''''''''''''''''''' 
[u]Antivirus/Firewall Check:[/u][/b] 
 avast! Free Antivirus    
 ZoneAlarm      
 [size=1]WMI entry may not exist for antivirus; attempting automatic update.[/size] 
[b]''''''''''''''''''''''''''''''' 
[u]Anti-malware/Other Utilities Check:[/u][/b] 
 Malwarebytes' Anti-Malware    
 CCleaner     
 Java(TM) 6 Update 23  
 Adobe Flash Player 10.1.102.64  
Adobe Reader 8.1.6 - Français 
[color=red][b]Out of date Adobe Reader installed![/b][/color] 
 Mozilla Firefox (3.6.13) 
 Mozilla Thunderbird (3.1.7) 
[b]'''''''''''''''''''''''''''''''' 
Process Check:  
[u]objlist.exe by Laurent[/u][/b] 
 Alwil Software Avast5 AvastSvc.exe  
 Alwil Software Avast5 AvastUI.exe  
 Zone Labs ZoneAlarm zlclient.exe  
[b]''''''''''End of Log''''''''''''[/b]

TororoYan · Answer

J'ai beaucoup plus de place libre sur mon DD maintenant, mais elle diminue toujours en continu, et augmente des fois sans raison.

TororoYan · Answer

Désolé de faire trois posts, mais je ne peux pas éditer, en tant qu'utilisateur non inscrit... 
J'ai toujours quelques problèmes (en plus de la place disponible qui diminue...), par exemple firefox qui reste une fois fermé dans la liste des processus actifs, que je ne peux même pas supprimer, ce qui m'empêche de me servir de firefox jusqu'au prochain allumage du PC, tout à l'heure je pouvais relever mes mails mais pas aller sur internet ni par Firefox ni par IE, mon ordi rame beaucoup, etc...

Je suis obligé de réactiver l'UAC ????? C'est vraiment pénible, on ne peux rien faire sans qu'une fenêtre s'affiche pour demander si on veut vraiment faire ce qu'on essaie de faire, il faut 25 permissions juste pour aller relever ses mails...

Utilisateur anonyme · Answer

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

ensuite:

>  /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

&#9654 Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

&#9654 attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

&#9654 Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni                                          dans ta prochaine réponse sur le forum.
  

@++

TororoYan · Answer

http://cjoint.com/data/0bwpkK5gKTR.htm

TororoYan · Answer

Si, il m'a donné ce rapport :
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:01 on 22/01/2011 (Hugo)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-

TororoYan · Answer

http://cjoint.com/data/0bwpGnSnfBo.htm

Utilisateur anonyme · Answer

pour celui la, tu as bien utiliser deffoger et redémarrer?

TororoYan · Answer

abolument !

Utilisateur anonyme · Answer

par acquis de conscience:

Télécharge GMER Scanner de rootkit

http://www2.gmer.net/download.php

[*]télécharge le .exe sur ton Bureau . Retiens son nom car il est aléatoire.

[*]exécute le en faisant un double clic sur le fichier créé. Néglige les alertes.

[*]le chargement va prendre une minute.

[*]si des rootkits sont décelés, répond non quand on te demande si tu veux faire un scan complet (Full scan).

[*]règle les paramètres (fenêtre de droite) de la manière suivante :


# seule la partition système (en général C:\ ) doit rester cochée
# Show All : décochée

[*]clique sur "SCAN" puis patiente...

[*]En fin de traitement clique sur "SAVE" et enregistre sur le Bureau "051209.txt"

[*]Double clique sur "051209.txt" ; le fichier s'ouvre dans le Bloc-Notes

[*]Copie le contenu et colle le dans ta réponse.

TororoYan · Answer

Mon ordi a planté,  je vais être obligé de le débrancher, je ne peux même pas l'éteindre en appuyant longtemps sur l'interrupteur !

TororoYan · Answer

GMER plante à chaque fois !

Utilisateur anonyme · Answer

tu as désactiver toutes tes protections?

TororoYan · Answer

Oui... Mais j'ai plein de problèmes : j'ai la connexion internet mais firefox et internet explorer ne peuvent pas y accéder et ce n'est pas un problème de pare feu, mon ordi a une certaine tendance à planter, etc...

Utilisateur anonyme · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

TororoYan · Answer

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:49 on 23/01/2011 (Hugo)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
SPTD -> Already disabled


-=E.O.F=

Utilisateur anonyme · Answer

ok, inutile de redémarrer, continu la procédure.

TororoYan · Answer

ComboFix 11-01-22.03 - Hugo 23/01/2011  14:12:12.1.2 - x86  
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.3.1252.33.1036.18.3070.1927 [GMT 1:00]  
Lancé depuis: c:\users\Hugo\Desktop\Hugo.exe  
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}  
FW: ZoneAlarm Firewall *Disabled* {EE2E17FA-9876-3544-62EC-0405AD5FFB20}  
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}  
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}  
.  

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))  
.  

c:\users\Hugo\AppData\Roaming\.#  

.  
(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-23 au 2011-01-23  ))))))))))))))))))))))))))))))))))))  
.  

2011-01-23 13:20 . 2011-01-23 13:20 -------- d-----w- c:\users\Invité\AppData\Local	emp  
2011-01-22 13:09 . 2009-05-18 12:17 26600 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys  
2011-01-22 13:09 . 2008-04-17 11:12 107368 ----a-w- c:\windows\system32\GEARAspi.dll  
2011-01-22 13:08 . 2011-01-22 13:08 -------- d-----w- c:\program files\iPod  
2011-01-22 13:07 . 2011-01-22 13:12 -------- d-----w- c:\program files\iTunes  
2011-01-22 13:07 . 2011-01-22 13:09 -------- d-----w- c:\programdata\{429CAD59-35B1-4DBC-BB6D-1DB246563521}  
2011-01-22 13:05 . 2011-01-22 13:05 -------- d-----w- c:\program files\Apple Software Update  
2011-01-22 00:47 . 2011-01-13 09:41 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{FBC6DECE-4FB7-4FF7-AE6E-525CFF5877C8}\mpengine.dll  
2011-01-21 21:45 . 2011-01-22 13:04 -------- d-----w- c:\program files\Bonjour  
2011-01-21 20:08 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys  
2011-01-21 20:07 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys  
2011-01-21 18:22 . 2009-11-22 14:42 69000 ----a-w- c:\windows\system32\zlcomm.dll  
2011-01-21 18:22 . 2009-11-22 14:42 103816 ----a-w- c:\windows\system32\zlcommdb.dll  
2011-01-21 18:22 . 2009-11-22 14:42 1238408 ----a-w- c:\windows\system32\zpeng25.dll  
2011-01-21 18:21 . 2011-01-21 18:22 -------- d-----w- c:\windows\system32\ZoneLabs  
2011-01-21 18:21 . 2009-11-22 14:44 446664 ----a-w- c:\windows\system32\drivers\vsdatant.sys  
2011-01-15 17:40 . 2011-01-15 17:40 -------- d-----w- c:\program files\Zone Labs  
2011-01-15 17:40 . 2011-01-23 11:23 -------- d-----w- c:\windows\Internet Logs  
2011-01-15 17:03 . 2011-01-15 17:03 -------- d-----w- c:\users\Hugo\AppData\Roaming\Malwarebytes  
2011-01-15 17:03 . 2011-01-15 17:03 -------- d-----w- c:\programdata\Malwarebytes  
2011-01-15 17:03 . 2011-01-21 20:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware  
2011-01-15 16:31 . 2011-01-22 14:30 -------- d-----w- c:\program files\ZHPDiag  
2011-01-08 09:54 . 2011-01-08 19:15 -------- d-----w- c:\program files\DirLister  
2011-01-02 15:20 . 2011-01-02 15:20 -------- d-----w- C:\ACERSW  
2010-12-27 17:54 . 2010-12-27 17:54 -------- d-----w- c:\program files\DVD Shrink  
2010-12-27 17:50 . 2010-12-27 17:50 -------- d-----w- c:\programdata\ZA_PreservedFiles  

.  
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))  
.  
2011-01-13 08:47 . 2009-05-30 10:42 188216 ----a-w- c:\windows\system32\aswBoot.exe  
2011-01-13 08:41 . 2009-05-30 10:42 294608 ----a-w- c:\windows\system32\drivers\aswSP.sys  
2011-01-13 08:40 . 2009-05-30 10:42 47440 ----a-w- c:\windows\system32\drivers\aswTdi.sys  
2011-01-13 08:37 . 2009-05-30 10:42 23632 ----a-w- c:\windows\system32\drivers\aswRdr.sys  
2011-01-13 08:37 . 2009-05-30 10:42 51280 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys  
2011-01-13 08:37 . 2009-05-30 10:42 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys  
2010-12-31 20:06 . 2010-08-30 10:04 38848 ----a-w- c:\windows\avastSS.scr  
2010-12-01 15:22 . 2010-12-01 15:22 605696 ----a-r- c:\users\Hugo\AppData\Roaming\Microsoft\Installer\{17FE44E2-D21A-4F0C-BE49-798A8FBC374E}\IconC23B8C30.exe  
2010-11-29 16:38 . 2010-11-29 16:38 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx  
2010-11-29 16:38 . 2010-11-29 16:38 69632 ----a-w- c:\windows\system32\QuickTime.qts  
2010-11-12 17:53 . 2010-05-04 19:19 472808 ----a-w- c:\windows\system32\deployJava1.dll  
.  

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))  
.  
.  
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés   
REGEDIT4  

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]  
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-11-22 1037192]  
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]  
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]  

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]  
"EnableLUA"= 0 (0x0)  
"EnableUIADesktopToggle"= 0 (0x0)  

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]  
"aux5"=wdmaud.drv  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]  
%ProgramFiles%\Windows Defender\MSASCui.exe -hide [X]  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]  
2008-09-26 10:02 2356088 ----a-w- c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]  
2008-08-08 12:11 490952 ----a-w- c:\program files\DAEMONTOOLS\daemon.exe  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]  
2008-08-01 06:48 13535776 ----a-w- c:\windows\System32
vcpl.dll  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]  
2008-08-01 06:48 92704 ----a-w- c:\windows\System32
vmctray.dll  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]  
2008-08-19 10:26 6265376 ----a-w- c:\windows\RtHDVCpl.exe  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]  
2010-05-14 09:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp]  
2008-01-29 08:03 303104 ----a-w- c:\program files\Acer\WR_PopUp\WarReg_PopUp.exe  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]  
2008-01-21 02:25 202240 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe  

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WPCUMI]  
2006-11-02 12:35 176128 ----a-w- c:\windows\System32\wpcumi.exe  

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]  
"DisableMonitoring"=dword:00000001  

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3471878613-1772289560-1970459149-1000]  
"EnableNotificationsRef"=dword:00000001  

R2 gupdate1ca2969dfa20a80;Service Google Update (gupdate1ca2969dfa20a80);c:\program files\Google\Update\GoogleUpdate.exe [2009-08-30 133104]  
R3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]  
R3 vsdatant7;vsdatant7;c:\windows\system32\drivers\vsdatant.win7.sys [x]  
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-05-10 721904]  
S1 aswSP;aswSP; [x]  
S2 aswFsBlk;aswFsBlk; [x]  
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-01-13 51280]  

.  
Contenu du dossier 'Tâches planifiées'  

2011-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job  
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-30 12:03]  

2011-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job  
- c:\program files\Google\Update\GoogleUpdate.exe [2009-08-30 12:03]  
.  
.  
------- Examen supplémentaire -------  
.  
uInternet Settings,ProxyOverride = *.local  
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000  
LSP: c:\windows\system32\wpclsp.dll  
FF - ProfilePath - c:\users\Hugo\AppData\Roaming\Mozilla\Firefox\Profiles\iwg82mcp.default\  
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/  
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}  
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}  
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}  
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}  
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}  
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}  
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension  
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}  
FF - user.js: yahoo.homepage.dontask - true  
.  
- - - - ORPHELINS SUPPRIMES - - - -  

URLSearchHooks-{ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)  
URLSearchHooks-{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - (no file)  
BHO-{ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)  
Toolbar-{ecdee021-0d17-467f-a1ff-c7a115230949} - (no file)  
WebBrowser-{ECDEE021-0D17-467F-A1FF-C7A115230949} - (no file)  



**************************************************************************  

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net  
Rootkit scan 2011-01-23 14:20  
Windows 6.0.6001 Service Pack 3 NTFS  

Recherche de processus cachés ...   

Recherche d'éléments en démarrage automatique cachés ...   

Recherche de fichiers cachés ...   


c:\users\Hugo\AppData\Local\Temp\catchme.dll 53248 bytes executable  

Scan terminé avec succès  
Fichiers cachés: 1  

**************************************************************************  
.  
Heure de fin: 2011-01-23  14:22:45  
ComboFix-quarantined-files.txt  2011-01-23 13:22  

Avant-CF: 414 127 775 744 octets libres  
Après-CF: 414 071 390 208 octets libres  

- - End Of File - - 1A5E56414B3333DF05C4794E9E019739 





Il y a aussi, dans C:\Qoobox : 

2011-01-23 13:21:23 . 2011-01-23 13:21:23              171 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\WebBrowser-{ECDEE021-0D17-467F-A1FF-C7A115230949}.reg.dat 
2011-01-23 13:21:22 . 2011-01-23 13:21:22              138 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\Toolbar-{ecdee021-0d17-467f-a1ff-c7a115230949}.reg.dat 
2011-01-23 13:21:21 . 2011-01-23 13:21:21              192 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\BHO-{ecdee021-0d17-467f-a1ff-c7a115230949}.reg.dat 
2011-01-23 13:21:19 . 2011-01-23 13:21:19              118 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\URLSearchHooks-{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}.reg.dat 
2011-01-23 13:21:17 . 2011-01-23 13:21:18              118 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\URLSearchHooks-{ecdee021-0d17-467f-a1ff-c7a115230949}.reg.dat 
2011-01-23 13:17:20 . 2011-01-23 13:17:20            4,102 ----a-w-  C:\Qoobox\Quarantine\Registry_backups	cpip.reg 
2011-01-23 13:10:53 . 2011-01-23 13:12:12               62 ----a-w-  C:\Qoobox\Quarantine\catchme.log 


Et dans C:\Qoobox\Quarantine\Registry_backups, il y a tous les fichiers indiqués au-dessus, sauf catchme.log, mais il y a un .txt intitulé catchme.txt, que je copie ici : 


-------- 2011-01-23 - 14:10:53  ------------- 

error: 31

Utilisateur anonyme · Answer

bonjours, désoler du temps de réponse:

supprime ces deux dossier: 
C:\ProgramData\eMule
C:\Users\Hugo\AppData\Roaming\Azureus 

ce sont des restes.

vérifie dans le dossiers de téléchargement de µTorrent s'il n'y a pas des stocks de fichiers téléchargés à supprimer : 
C:\Program Files\uTorrent
C:\Users\Hugo\AppData\Roaming\uTorrent 

même chose ici:
C:\Users\Hugo\Downloads
C:\Users\Hugo\Documents\Mes fichiers reçus

TororoYan · Answer

C'est fait, mais j'ai encore quelques problèmes que je n'ai jamais eus avant : je dois souvent éteindre mon pc en maintenant le bouton appuyé car il ne réagit pas quand je clique sur arrêter, ou encore Firefox qui reste dans la liste des processus actifs, processus que je ne peux pas supprimer, ce qui m'oblige à rallumer l'ordi... En plus,le temps d'allumage à augmenté alors que j'ai désactivé tous les programmes au démarrage sauf pour mon antivirus et mon pare-feu.

Virus ou non ?

69 réponses

Votre réponse

Discussions similaires

Newsletters