Personal internet security 2011
Résolu/Fermé
A voir également:
- Personal internet security 2011
- Gps sans internet - Guide
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Eset internet security download - Télécharger - Sécurité
- Lycamobile consulter solde internet - Forum Mobile
- Telecharger internet explorer - Télécharger - Navigateurs
10 réponses
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
18 janv. 2011 à 17:01
18 janv. 2011 à 17:01
Bonjour,
Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
On va pouvoir l'enlever, par contre si tu l'as payé ton argent est perdu...
Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :
- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.
Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :
* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
On va pouvoir l'enlever, par contre si tu l'as payé ton argent est perdu...
tomtom69000
Messages postés
252
Date d'inscription
mercredi 29 septembre 2010
Statut
Membre
Dernière intervention
15 mars 2012
4
18 janv. 2011 à 17:09
18 janv. 2011 à 17:09
dsl mais c'est belle et bien une arnaque par un logiciel malveillant,
Combien a tu payé sans indiscrétion ?
Combien a tu payé sans indiscrétion ?
Bonjour, merci de votre réponse même si ce n'est pas une super nouvelle.
Comme convenu, voici le lien.
https://www.cjoint.com/?0buruEoRrOt
A bientôt,
Comme convenu, voici le lien.
https://www.cjoint.com/?0buruEoRrOt
A bientôt,
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
20 janv. 2011 à 18:27
20 janv. 2011 à 18:27
Tu peux éventuellement déposer une plainte ou voir avec ta banque si tu as une assurance contre les arnaques... Tiens nous au courant.
De mon côté, je vais t'aider à supprimer le logiciel de ton ordinateur ainsi que les autres infections :
1) D'abord, commence par désinstaller le rogue en lui-même : menu démarrer --> panneau de configuration -6> ajout/suppression de programmes --> sélectionne Personal Internet Security 2011 et désinstalle le.
Profites-en pour désinstaller toutes les barres d'outils inutiles :
DAEMON Tools Toolbar
Google Toolbar
barre d'outils Orange
&Inbox Toolbar
2) Le fichier Hosts de ton ordinateur a été trafiqué par Personal Internet Security, nous allons le restaurer :
* Télécharge RstHosts (de Xplode) sur ton Bureau.
* Lance le et clique sur Restaurer
* Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt )
3) Il y a une infection de disques amovibles :
* Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Double clique sur le programme USBFix sur ton Bureau.
* Au menu principal, clique sur "Suppression"
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp
4) Utilise ce logiciel de désinfection généraliste stp :
* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
5) Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp
De mon côté, je vais t'aider à supprimer le logiciel de ton ordinateur ainsi que les autres infections :
1) D'abord, commence par désinstaller le rogue en lui-même : menu démarrer --> panneau de configuration -6> ajout/suppression de programmes --> sélectionne Personal Internet Security 2011 et désinstalle le.
Profites-en pour désinstaller toutes les barres d'outils inutiles :
DAEMON Tools Toolbar
Google Toolbar
barre d'outils Orange
&Inbox Toolbar
2) Le fichier Hosts de ton ordinateur a été trafiqué par Personal Internet Security, nous allons le restaurer :
* Télécharge RstHosts (de Xplode) sur ton Bureau.
* Lance le et clique sur Restaurer
* Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.
Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt )
3) Il y a une infection de disques amovibles :
* Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
* Double clique sur le programme USBFix sur ton Bureau.
* Au menu principal, clique sur "Suppression"
* Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
* Laisse travailler l'outil jusqu'au bout
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse stp
4) Utilise ce logiciel de désinfection généraliste stp :
* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin de l'analyse, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
5) Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour, bonjour,
1, je n'ai pas réussi à désinstallé pis2011
Ca me dit que le programme n'était peut-être pas installé.
2.
Rapport RstHosts v1.5 - 21/01/2011 à 17:13
Mis à jour le 30/11/10 à 19h30 par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Eddy - EDDY-7C9A0FD5D6 (Administrateur)
Exécuté depuis : C:\Documents and Settings\Eddy\Local Settings\Temporary Internet Files\Content.IE5\H0GVOOZI\RstHosts[1].exe
Option : [Restaurer]
++++++++++ [[Restauration du fichier hosts]] ++++++++++
-> Suppression... OK !
-> BackUp sauvegardé sous C:\RstHostsBkp.bak ... OK !
-> Copie du fichier hosts sain vers C:\WINDOWS\system32\drivers\etc\hosts ... OK !
-> Fichier Hosts restauré avec succès !
++++++++++ [[Propriétés du fichier hosts]] ++++++++++
Emplacement : C:\WINDOWS\system32\drivers\etc\hosts
Attribut(s) : RASH
Taille : 89 octets
Date de création : 02/03/2006 - 13:00
Date de modification : 21/11/2010 - 14:59
Date de dernier accès : 21/01/2011 - 17:13
++++++++++ [[Contenu du fichier hosts ( Avant restauration )]] ++++++++++
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x
127.0.0.1 localhost
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 www.secure-plus-payments.com
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 www.securesoftwarebill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
++++++++++ [[Contenu du fichier hosts ( Après restauration )]] ++++++++++
# Fichier Hosts créé par RstHosts
127.0.0.1 localhost
::1 localhost
########## EOF - "C:\RstHosts.txt" - [2706 octets] ##########
3.############################## | UsbFix 7.038 | [Suppression]
Utilisateur: Eddy (Administrateur) # EDDY-7C9A0FD5D6 [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 17:53:35 | 21/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 5600+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 5600+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: Personal Internet Security 2011 [Enabled | Updated]
Antivirus: avast! Antivirus 5.0.83886757 [(!) Disabled | Updated]
Firewall: Personal Internet Security 2011 [Enabled]
RAM -> 3327 Mo
C:\ (%systemdrive%) -> Disque fixe # 39 Go (22 Go libre(s) - 55%) [SYSTEME] # NTFS
D:\ -> Disque fixe # 98 Go (19 Go libre(s) - 20%) [DONNEES] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 4 Go (3 Go libre(s) - 87%) [] # FAT32
J:\ -> Disque fixe # 157 Go (26 Go libre(s) - 16%) [JEUX] # NTFS
K:\ -> Disque fixe # 153 Go (50 Go libre(s) - 33%) [STOCKAGE] # NTFS
W:\ -> Disque fixe # 4 Go (32 Mo libre(s) - 1%) [SWAP] # NTFS
################## | Éléments infectieux |
Supprimé! C:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Supprimé! D:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Supprimé! J:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Supprimé! K:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Supprimé! W:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Non supprimé ! F:\autorun.inf
Non supprimé ! F:\Installer.exe
################## | Registre |
Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{74887518-97f8-11df-a543-0021857046d1}
################## | Listing |
[10/07/2010 - 15:31:23 | N | 4982] C:\Ad-Report-CLEAN[1].txt
[09/07/2010 - 11:35:41 | N | 4704] C:\Ad-Report-SCAN[1].txt
[26/06/2009 - 15:43:27 | N | 0] C:\AUTOEXEC.BAT
[21/01/2011 - 17:23:03 | RASHD ] C:\Autorun.inf
[26/06/2009 - 18:24:37 | N | 212] C:\boot.ini
[02/03/2006 - 13:00:00 | N | 4952] C:\Bootfont.bin
[26/06/2009 - 15:43:27 | N | 0] C:\CONFIG.SYS
[26/06/2009 - 19:45:52 | D ] C:\Documents and Settings
[09/08/2010 - 22:36:07 | N | 1046736] C:\Driverwhiz.exe
[11/11/2010 - 20:06:13 | D ] C:\found.000
[26/06/2009 - 15:43:27 | N | 0] C:\IO.SYS
[26/06/2009 - 15:43:27 | N | 0] C:\MSDOS.SYS
[02/03/2006 - 13:00:00 | N | 47564] C:\NTDETECT.COM
[26/06/2009 - 16:55:30 | N | 252240] C:\ntldr
[26/06/2009 - 16:49:41 | D ] C:\NVIDIA
[26/06/2010 - 17:48:54 | D ] C:\PATCH
[21/01/2011 - 17:35:55 | D ] C:\Program Files
[21/01/2011 - 17:56:26 | SHD ] C:\RECYCLER
[21/01/2011 - 17:50:03 | N | 1339] C:\RstHosts.txt
[21/11/2010 - 14:59:16 | N | 89] C:\RstHostsBkp.bak
[16/07/2010 - 04:03:10 | D ] C:\SIERRA
[26/06/2009 - 15:46:14 | SHD ] C:\System Volume Information
[21/01/2011 - 17:56:26 | D ] C:\UsbFix
[21/01/2011 - 17:56:30 | A | 1766] C:\UsbFix.txt
[21/01/2011 - 17:23:04 | N | 2411716] C:\UsbFix_Upload_Me_EDDY-7C9A0FD5D6.zip
[13/01/2011 - 03:22:27 | D ] C:\WINDOWS
[21/01/2011 - 17:23:03 | RASHD ] D:\Autorun.inf
[26/06/2009 - 16:41:21 | D ] D:\Drivers K9N Neo V3
[04/03/2010 - 23:11:53 | D ] D:\HERO CORP
[01/03/2010 - 22:12:08 | D ] D:\les 2 minutes du peuple
[01/03/2010 - 22:11:14 | D ] D:\Les 2 minutes du peuples
[01/03/2010 - 22:25:46 | D ] D:\LES CONTES DE LA CRYPTE
[02/03/2010 - 22:06:20 | D ] D:\MALCOM
[10/12/2010 - 17:35:51 | D ] D:\Mes Documents
[01/03/2010 - 22:21:21 | D ] D:\RECETTES SUCREES
[21/01/2011 - 17:56:26 | SHD ] D:\RECYCLER
[26/06/2009 - 17:00:23 | SHD ] D:\System Volume Information
[29/08/2010 - 08:03:22 | D ] D:\The Doors Soundtrack
[01/03/2010 - 23:09:33 | D ] D:\TRUE BLOOD
[25/05/2010 - 18:35:12 | RH | 46] F:\autorun.inf
[25/05/2010 - 18:35:12 | RH | 109638] F:\disc.ico
[25/05/2010 - 18:34:28 | RH | 7431881875] F:\Installer Tome 1.MPQE
[25/05/2010 - 18:34:31 | RH | 17765429] F:\Installer UI 1.MPQ
[25/05/2010 - 18:34:38 | RH | 41695367] F:\Installer UI 2.MPQE
[25/05/2010 - 18:35:12 | R | 2505256] F:\Installer.exe
[25/05/2010 - 18:34:38 | RD ] F:\StarCraft II Installer.app
[21/01/2011 - 17:23:04 | RASHD ] H:\Autorun.inf
[04/06/2010 - 11:38:02 | D ] H:\stop sales
[16/08/2010 - 07:59:20 | N | 1620] H:\BOOTEX.LOG
[26/05/2010 - 12:54:40 | D ] H:\Eddy
[31/05/2010 - 01:03:54 | D ] H:\photos
[20/07/2010 - 14:26:58 | N | 797696] H:\Réception planning 2010.xls
[24/07/2010 - 16:50:52 | N | 516096] H:\Hébergement planning 2010-2011.xls
[05/08/2010 - 17:01:26 | N | 76800] H:\Juillet 2010.doc
[06/10/2010 - 15:26:14 | D ] H:\gael roussel
[20/12/2010 - 17:37:58 | N | 121856] H:\Administration MDP.xls
[27/03/2010 - 21:15:30 | D ] H:\myfidélio LCH
[27/03/2010 - 21:15:46 | D ] H:\Myfidelio LCD
[27/03/2010 - 21:16:06 | D ] H:\my fidelio
[24/02/2010 - 13:57:12 | D ] H:\AL
[31/03/2010 - 00:01:16 | D ] H:\My Fidélio LC Casino-Port
[09/04/2010 - 14:35:28 | D ] H:\closerie
[26/06/2009 - 21:42:05 | D ] J:\Activision
[21/01/2011 - 17:23:04 | RASHD ] J:\Autorun.inf
[08/12/2010 - 02:12:29 | D ] J:\Call of Duty Modern Warfare 2
[18/07/2009 - 20:34:49 | D ] J:\Codemasters
[16/07/2010 - 03:58:33 | D ] J:\Diablo
[08/11/2010 - 19:21:16 | D ] J:\EA GAMES
[26/11/2010 - 17:31:28 | D ] J:\Electronic Arts
[27/06/2009 - 02:36:07 | D ] J:\Focus home Interactive
[27/06/2009 - 21:35:15 | D ] J:\GameShadow
[20/06/2010 - 22:34:16 | N | 1975976] J:\LastChaos_French_Downloader.exe
[27/11/2010 - 03:14:15 | D ] J:\LucasArts
[26/06/2009 - 19:11:54 | RHD ] J:\MSOCache
[26/07/2009 - 20:46:15 | D ] J:\NAMCO BANDAI Games
[05/12/2009 - 22:15:30 | D ] J:\Nobilis
[21/01/2011 - 17:56:26 | SHD ] J:\RECYCLER
[16/07/2010 - 04:02:23 | D ] J:\SIERRA
[31/12/2009 - 04:53:12 | D ] J:\Star Wars Le Pouvoir de la Force
[13/01/2011 - 08:11:57 | D ] J:\StarCraft II
[25/06/2010 - 22:06:48 | D ] J:\Steam
[26/06/2009 - 17:00:25 | SHD ] J:\System Volume Information
[09/08/2009 - 02:24:55 | D ] J:\THQ
[18/06/2010 - 03:41:05 | D ] J:\Ubisoft
[07/02/2010 - 18:27:17 | D ] J:\Wings Over Europe
[26/06/2010 - 04:04:21 | D ] K:\A Graver
[21/01/2011 - 17:23:04 | RASHD ] K:\Autorun.inf
[12/08/2010 - 05:09:15 | D ] K:\DivX
[24/06/2010 - 02:18:43 | D ] K:\Documentaires
[22/12/2008 - 13:51:31 | D ] K:\Logiciels
[15/10/2010 - 12:34:05 | D ] K:\MP3
[27/10/2009 - 11:32:48 | N | 734271488] K:\Public.Enemies.FRENCH.REPACK.1CD.BDRiP.XViD-ITOMA.[emule-island.com].avi
[21/01/2011 - 17:56:26 | SHD ] K:\RECYCLER
[18/02/2010 - 10:22:22 | D ] K:\Sauvegardes Jeux
[26/06/2009 - 17:24:04 | SHD ] K:\System Volume Information
[20/06/2010 - 07:31:11 | ASH | 23552] K:\Thumbs.db
[21/01/2011 - 17:23:04 | RASHD ] W:\Autorun.inf
[21/01/2011 - 17:44:03 | ASH | 4255113216] W:\pagefile.sys
[21/01/2011 - 17:56:26 | SHD ] W:\RECYCLER
[26/06/2009 - 17:00:24 | SHD ] W:\System Volume Information
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par Panda USB Vaccine
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
W:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_EDDY-7C9A0FD5D6.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
4.Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 5565
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
21/01/2011 17:41:52
mbam-log-2011-01-21 (17-41-37).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 145090
Temps écoulé: 2 minute(s), 59 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 20
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AluSchedulerSvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avciman.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVENGINE.EXE (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcmscsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcnasvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcproxy.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McSACore.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshell.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcsysmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPFSrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PavFnSvr.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pavprsrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pavsrv51.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PsCtrls.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PsImSvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PskSvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TPSrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WebProxy.exe (Security.Hijack) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Personal Internet Security 2011 (Rogue.PersonalInternetSecurity) -> Value: Personal Internet Security 2011 -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-19\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-20\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
Dossier(s) infecté(s):
c:\documents and settings\Eddy\application data\personal internet security 2011 (Rogue.PersonalInternetSecurity) -> No action taken.
Fichier(s) infecté(s):
c:\documents and settings\Eddy\application data\microsoft\internet explorer\quick launch\personal internet security 2011.lnk (Rogue.PersonalInternetSecurity) -> No action taken.
c:\documents and settings\Eddy\menu démarrer\programmes\personal internet security 2011.lnk (Rogue.PersonalInternetSecurity) -> No action taken.
c:\documents and settings\Eddy\menu démarrer\personal internet security 2011.lnk (Rogue.PersonalInternetSecurity) -> No action taken.
c:\documents and settings\Eddy\application data\personal internet security 2011\instructions.ini (Rogue.PersonalInternetSecurity) -> No action taken.
5.https://www.cjoint.com/?0bvswRomOQC
J'espère avoir bien fait les choses.
Merci de vos conseils.
Emilie
1, je n'ai pas réussi à désinstallé pis2011
Ca me dit que le programme n'était peut-être pas installé.
2.
Rapport RstHosts v1.5 - 21/01/2011 à 17:13
Mis à jour le 30/11/10 à 19h30 par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Eddy - EDDY-7C9A0FD5D6 (Administrateur)
Exécuté depuis : C:\Documents and Settings\Eddy\Local Settings\Temporary Internet Files\Content.IE5\H0GVOOZI\RstHosts[1].exe
Option : [Restaurer]
++++++++++ [[Restauration du fichier hosts]] ++++++++++
-> Suppression... OK !
-> BackUp sauvegardé sous C:\RstHostsBkp.bak ... OK !
-> Copie du fichier hosts sain vers C:\WINDOWS\system32\drivers\etc\hosts ... OK !
-> Fichier Hosts restauré avec succès !
++++++++++ [[Propriétés du fichier hosts]] ++++++++++
Emplacement : C:\WINDOWS\system32\drivers\etc\hosts
Attribut(s) : RASH
Taille : 89 octets
Date de création : 02/03/2006 - 13:00
Date de modification : 21/11/2010 - 14:59
Date de dernier accès : 21/01/2011 - 17:13
++++++++++ [[Contenu du fichier hosts ( Avant restauration )]] ++++++++++
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x
127.0.0.1 localhost
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 www.getantivirusplusnow.com
74.125.45.100 www.secure-plus-payments.com
74.125.45.100 www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 www.securesoftwarebill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
++++++++++ [[Contenu du fichier hosts ( Après restauration )]] ++++++++++
# Fichier Hosts créé par RstHosts
127.0.0.1 localhost
::1 localhost
########## EOF - "C:\RstHosts.txt" - [2706 octets] ##########
3.############################## | UsbFix 7.038 | [Suppression]
Utilisateur: Eddy (Administrateur) # EDDY-7C9A0FD5D6 [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 17:53:35 | 21/01/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 5600+
CPU 2: AMD Athlon(tm) 64 X2 Dual Core Processor 5600+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Pare-feu Windows: Activé
Antivirus: Personal Internet Security 2011 [Enabled | Updated]
Antivirus: avast! Antivirus 5.0.83886757 [(!) Disabled | Updated]
Firewall: Personal Internet Security 2011 [Enabled]
RAM -> 3327 Mo
C:\ (%systemdrive%) -> Disque fixe # 39 Go (22 Go libre(s) - 55%) [SYSTEME] # NTFS
D:\ -> Disque fixe # 98 Go (19 Go libre(s) - 20%) [DONNEES] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> Disque amovible # 4 Go (3 Go libre(s) - 87%) [] # FAT32
J:\ -> Disque fixe # 157 Go (26 Go libre(s) - 16%) [JEUX] # NTFS
K:\ -> Disque fixe # 153 Go (50 Go libre(s) - 33%) [STOCKAGE] # NTFS
W:\ -> Disque fixe # 4 Go (32 Mo libre(s) - 1%) [SWAP] # NTFS
################## | Éléments infectieux |
Supprimé! C:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Supprimé! D:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Supprimé! J:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Supprimé! K:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Supprimé! W:\Recycler\S-1-5-21-1343024091-1958367476-839522115-1003
Non supprimé ! F:\autorun.inf
Non supprimé ! F:\Installer.exe
################## | Registre |
Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{74887518-97f8-11df-a543-0021857046d1}
################## | Listing |
[10/07/2010 - 15:31:23 | N | 4982] C:\Ad-Report-CLEAN[1].txt
[09/07/2010 - 11:35:41 | N | 4704] C:\Ad-Report-SCAN[1].txt
[26/06/2009 - 15:43:27 | N | 0] C:\AUTOEXEC.BAT
[21/01/2011 - 17:23:03 | RASHD ] C:\Autorun.inf
[26/06/2009 - 18:24:37 | N | 212] C:\boot.ini
[02/03/2006 - 13:00:00 | N | 4952] C:\Bootfont.bin
[26/06/2009 - 15:43:27 | N | 0] C:\CONFIG.SYS
[26/06/2009 - 19:45:52 | D ] C:\Documents and Settings
[09/08/2010 - 22:36:07 | N | 1046736] C:\Driverwhiz.exe
[11/11/2010 - 20:06:13 | D ] C:\found.000
[26/06/2009 - 15:43:27 | N | 0] C:\IO.SYS
[26/06/2009 - 15:43:27 | N | 0] C:\MSDOS.SYS
[02/03/2006 - 13:00:00 | N | 47564] C:\NTDETECT.COM
[26/06/2009 - 16:55:30 | N | 252240] C:\ntldr
[26/06/2009 - 16:49:41 | D ] C:\NVIDIA
[26/06/2010 - 17:48:54 | D ] C:\PATCH
[21/01/2011 - 17:35:55 | D ] C:\Program Files
[21/01/2011 - 17:56:26 | SHD ] C:\RECYCLER
[21/01/2011 - 17:50:03 | N | 1339] C:\RstHosts.txt
[21/11/2010 - 14:59:16 | N | 89] C:\RstHostsBkp.bak
[16/07/2010 - 04:03:10 | D ] C:\SIERRA
[26/06/2009 - 15:46:14 | SHD ] C:\System Volume Information
[21/01/2011 - 17:56:26 | D ] C:\UsbFix
[21/01/2011 - 17:56:30 | A | 1766] C:\UsbFix.txt
[21/01/2011 - 17:23:04 | N | 2411716] C:\UsbFix_Upload_Me_EDDY-7C9A0FD5D6.zip
[13/01/2011 - 03:22:27 | D ] C:\WINDOWS
[21/01/2011 - 17:23:03 | RASHD ] D:\Autorun.inf
[26/06/2009 - 16:41:21 | D ] D:\Drivers K9N Neo V3
[04/03/2010 - 23:11:53 | D ] D:\HERO CORP
[01/03/2010 - 22:12:08 | D ] D:\les 2 minutes du peuple
[01/03/2010 - 22:11:14 | D ] D:\Les 2 minutes du peuples
[01/03/2010 - 22:25:46 | D ] D:\LES CONTES DE LA CRYPTE
[02/03/2010 - 22:06:20 | D ] D:\MALCOM
[10/12/2010 - 17:35:51 | D ] D:\Mes Documents
[01/03/2010 - 22:21:21 | D ] D:\RECETTES SUCREES
[21/01/2011 - 17:56:26 | SHD ] D:\RECYCLER
[26/06/2009 - 17:00:23 | SHD ] D:\System Volume Information
[29/08/2010 - 08:03:22 | D ] D:\The Doors Soundtrack
[01/03/2010 - 23:09:33 | D ] D:\TRUE BLOOD
[25/05/2010 - 18:35:12 | RH | 46] F:\autorun.inf
[25/05/2010 - 18:35:12 | RH | 109638] F:\disc.ico
[25/05/2010 - 18:34:28 | RH | 7431881875] F:\Installer Tome 1.MPQE
[25/05/2010 - 18:34:31 | RH | 17765429] F:\Installer UI 1.MPQ
[25/05/2010 - 18:34:38 | RH | 41695367] F:\Installer UI 2.MPQE
[25/05/2010 - 18:35:12 | R | 2505256] F:\Installer.exe
[25/05/2010 - 18:34:38 | RD ] F:\StarCraft II Installer.app
[21/01/2011 - 17:23:04 | RASHD ] H:\Autorun.inf
[04/06/2010 - 11:38:02 | D ] H:\stop sales
[16/08/2010 - 07:59:20 | N | 1620] H:\BOOTEX.LOG
[26/05/2010 - 12:54:40 | D ] H:\Eddy
[31/05/2010 - 01:03:54 | D ] H:\photos
[20/07/2010 - 14:26:58 | N | 797696] H:\Réception planning 2010.xls
[24/07/2010 - 16:50:52 | N | 516096] H:\Hébergement planning 2010-2011.xls
[05/08/2010 - 17:01:26 | N | 76800] H:\Juillet 2010.doc
[06/10/2010 - 15:26:14 | D ] H:\gael roussel
[20/12/2010 - 17:37:58 | N | 121856] H:\Administration MDP.xls
[27/03/2010 - 21:15:30 | D ] H:\myfidélio LCH
[27/03/2010 - 21:15:46 | D ] H:\Myfidelio LCD
[27/03/2010 - 21:16:06 | D ] H:\my fidelio
[24/02/2010 - 13:57:12 | D ] H:\AL
[31/03/2010 - 00:01:16 | D ] H:\My Fidélio LC Casino-Port
[09/04/2010 - 14:35:28 | D ] H:\closerie
[26/06/2009 - 21:42:05 | D ] J:\Activision
[21/01/2011 - 17:23:04 | RASHD ] J:\Autorun.inf
[08/12/2010 - 02:12:29 | D ] J:\Call of Duty Modern Warfare 2
[18/07/2009 - 20:34:49 | D ] J:\Codemasters
[16/07/2010 - 03:58:33 | D ] J:\Diablo
[08/11/2010 - 19:21:16 | D ] J:\EA GAMES
[26/11/2010 - 17:31:28 | D ] J:\Electronic Arts
[27/06/2009 - 02:36:07 | D ] J:\Focus home Interactive
[27/06/2009 - 21:35:15 | D ] J:\GameShadow
[20/06/2010 - 22:34:16 | N | 1975976] J:\LastChaos_French_Downloader.exe
[27/11/2010 - 03:14:15 | D ] J:\LucasArts
[26/06/2009 - 19:11:54 | RHD ] J:\MSOCache
[26/07/2009 - 20:46:15 | D ] J:\NAMCO BANDAI Games
[05/12/2009 - 22:15:30 | D ] J:\Nobilis
[21/01/2011 - 17:56:26 | SHD ] J:\RECYCLER
[16/07/2010 - 04:02:23 | D ] J:\SIERRA
[31/12/2009 - 04:53:12 | D ] J:\Star Wars Le Pouvoir de la Force
[13/01/2011 - 08:11:57 | D ] J:\StarCraft II
[25/06/2010 - 22:06:48 | D ] J:\Steam
[26/06/2009 - 17:00:25 | SHD ] J:\System Volume Information
[09/08/2009 - 02:24:55 | D ] J:\THQ
[18/06/2010 - 03:41:05 | D ] J:\Ubisoft
[07/02/2010 - 18:27:17 | D ] J:\Wings Over Europe
[26/06/2010 - 04:04:21 | D ] K:\A Graver
[21/01/2011 - 17:23:04 | RASHD ] K:\Autorun.inf
[12/08/2010 - 05:09:15 | D ] K:\DivX
[24/06/2010 - 02:18:43 | D ] K:\Documentaires
[22/12/2008 - 13:51:31 | D ] K:\Logiciels
[15/10/2010 - 12:34:05 | D ] K:\MP3
[27/10/2009 - 11:32:48 | N | 734271488] K:\Public.Enemies.FRENCH.REPACK.1CD.BDRiP.XViD-ITOMA.[emule-island.com].avi
[21/01/2011 - 17:56:26 | SHD ] K:\RECYCLER
[18/02/2010 - 10:22:22 | D ] K:\Sauvegardes Jeux
[26/06/2009 - 17:24:04 | SHD ] K:\System Volume Information
[20/06/2010 - 07:31:11 | ASH | 23552] K:\Thumbs.db
[21/01/2011 - 17:23:04 | RASHD ] W:\Autorun.inf
[21/01/2011 - 17:44:03 | ASH | 4255113216] W:\pagefile.sys
[21/01/2011 - 17:56:26 | SHD ] W:\RECYCLER
[26/06/2009 - 17:00:24 | SHD ] W:\System Volume Information
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par Panda USB Vaccine
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
W:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_EDDY-7C9A0FD5D6.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
4.Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 5565
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
21/01/2011 17:41:52
mbam-log-2011-01-21 (17-41-37).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 145090
Temps écoulé: 2 minute(s), 59 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 20
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AluSchedulerSvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avciman.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVENGINE.EXE (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcmscsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcnasvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcproxy.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McSACore.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcshell.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcsysmon.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPFSrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PavFnSvr.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pavprsrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pavsrv51.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PsCtrls.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PsImSvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PskSvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TPSrv.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WebProxy.exe (Security.Hijack) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Personal Internet Security 2011 (Rogue.PersonalInternetSecurity) -> Value: Personal Internet Security 2011 -> No action taken.
Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-19\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-20\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=328&q={searchTerms}) Good: (https://www.google.com/webhp?gws_rd=ssl{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> No action taken.
Dossier(s) infecté(s):
c:\documents and settings\Eddy\application data\personal internet security 2011 (Rogue.PersonalInternetSecurity) -> No action taken.
Fichier(s) infecté(s):
c:\documents and settings\Eddy\application data\microsoft\internet explorer\quick launch\personal internet security 2011.lnk (Rogue.PersonalInternetSecurity) -> No action taken.
c:\documents and settings\Eddy\menu démarrer\programmes\personal internet security 2011.lnk (Rogue.PersonalInternetSecurity) -> No action taken.
c:\documents and settings\Eddy\menu démarrer\personal internet security 2011.lnk (Rogue.PersonalInternetSecurity) -> No action taken.
c:\documents and settings\Eddy\application data\personal internet security 2011\instructions.ini (Rogue.PersonalInternetSecurity) -> No action taken.
5.https://www.cjoint.com/?0bvswRomOQC
J'espère avoir bien fait les choses.
Merci de vos conseils.
Emilie
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
27 janv. 2011 à 08:06
27 janv. 2011 à 08:06
Oui c'est parfait :)
Désolé pour le délai de réponse.
Ce script va cibler certains éléments à supprimer :
* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix.
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.
Ensuite, fais redémarrer ton ordinateur et poste encore un nouveau rapport ZHPDiag stp. Dis moi aussi si tu as encore des problèmes.
Désolé pour le délai de réponse.
Ce script va cibler certains éléments à supprimer :
* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix.
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.
Ensuite, fais redémarrer ton ordinateur et poste encore un nouveau rapport ZHPDiag stp. Dis moi aussi si tu as encore des problèmes.
Bonjour, Voici la premièere étape:
Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-28-01-2011-18-24-10.txt
Run by Eddy at 28/01/2011 18:24:10
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
HKCU\Software\3 => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Bing) - http://findgala.com => Clé absente
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Documents and Settings\All Users\Application Data\8c01ba\PI8c0_328.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\All Users\Application Data\8c01ba\PersonalIS2011.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine
========== Récapitulatif ==========
2 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Dossier(s)
End of the scan
Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-28-01-2011-18-24-10.txt
Run by Eddy at 28/01/2011 18:24:10
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Clé(s) du Registre ==========
HKCU\Software\3 => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Bing) - http://findgala.com => Clé absente
========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\Documents and Settings\All Users\Application Data\8c01ba\PI8c0_328.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\Documents and Settings\All Users\Application Data\8c01ba\PersonalIS2011.exe" [Enabled] .(.) (.not file.) -- => Valeur supprimée avec succès
========== Dossier(s) ==========
C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine
========== Récapitulatif ==========
2 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Dossier(s)
End of the scan
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
29 janv. 2011 à 09:22
29 janv. 2011 à 09:22
Très bien, ton ordinateur n'est plus infecté :)
Voici les conseils de finition :
1) Sécurise ton ordinateur
* Logiciels de protection :
Garde un antivirus (Avast dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.
* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes :
- WOT
- AdBlock
* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).
* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 9 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.
* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.
2) Optimisation :
* Télécharge Ccleaner. Installe le et lance le.
Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : RTHDCPL / Adobe Reader Speed Launcher / Adobe ARM / nwiz / NvMediaCenter / MSMSGS / CTFMON.EXE
* Télécharge ce fichier --> lance le --> accepte la modification du Registre.
* Télécharge Defraggler. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".
3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.
4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.
5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
Voici les conseils de finition :
1) Sécurise ton ordinateur
* Logiciels de protection :
Garde un antivirus (Avast dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.
* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes :
- WOT
- AdBlock
* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).
* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 9 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.
* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.
2) Optimisation :
* Télécharge Ccleaner. Installe le et lance le.
Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : RTHDCPL / Adobe Reader Speed Launcher / Adobe ARM / nwiz / NvMediaCenter / MSMSGS / CTFMON.EXE
* Télécharge ce fichier --> lance le --> accepte la modification du Registre.
* Télécharge Defraggler. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation) puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".
3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.
4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.
5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)
Bonjour Anthony,
J'espère que tu vas bien. Tout est ok maintenant. J'ai installé Firefox, mais je ne suis pas encore très familière avec...
J'ai effectué toutes les procédures ci-dessus à part:
* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : RTHDCPL / Adobe Reader Speed Launcher / Adobe ARM / nwiz / NvMediaCenter / MSMSGS / CTFMON.EXE
Je n'ai pas trouvé le fichier correspondant.
Enfin, PIS m'a remboursé intégralement. J'ai agit rapidement pour annuler mon abonnement auprès du service clientèle. Tout est en anglais pour info!
Je te remercie beaucoup:)
J'espère que tu vas bien. Tout est ok maintenant. J'ai installé Firefox, mais je ne suis pas encore très familière avec...
J'ai effectué toutes les procédures ci-dessus à part:
* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : RTHDCPL / Adobe Reader Speed Launcher / Adobe ARM / nwiz / NvMediaCenter / MSMSGS / CTFMON.EXE
Je n'ai pas trouvé le fichier correspondant.
Enfin, PIS m'a remboursé intégralement. J'ai agit rapidement pour annuler mon abonnement auprès du service clientèle. Tout est en anglais pour info!
Je te remercie beaucoup:)
