Lien sur google ou autre ne marche plus Résolu/Fermé

Question

Bonjour, 
Depuis un mois, lorsque je fais des recherches sur google ou les autres moteur de recherche, des que je clique sur un lien, cela m'envoie directement sur une page malveillante. J'ai essayé de changer de système d'exploitation comme explorer, firefox ou chrome mais rien ne change.
Y a t-il un moyen de résoudre se problème, du genre un scan anti-virus sur les moteurs de recherche ou réinstallation ? 
Merci d'avance !

Nico


Configuration: Windows XP / Internet Explorer 8.0

Smart91 · Answer

Bonjour,

On va faire un diagnostic de ton PC

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

nicolito · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cijtD6Qmoh.txt

merci !

Smart91 · Answer

Tu as des barres d'outils infectées et peut-être un rogue

Mais avant tout je voudrais vérifuer qq chose:

Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Windows\Explorer.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

et tu fais le même chose avec ce fichier:
C:\Windows\System32\Winlogon.exe

Smart

nicolito · Answer

le 1er:

http://www.virustotal.com/file-scan/report.html?id=c1707f35efc422b042e771495f57f1ec1be5c37040e4ebabfa873c47df4d92f1-1295533885

et le 2ème:

http://www.virustotal.com/file-scan/report.html?id=24d4b48425cc1a49cc8014bf65b069fac0ce4e75430293aaaf7a0a06d02f5071-1295534114

Merci

Smart91 · Answer

Je m'en doutais. Tu as une infection Batimal, qui n'est pas simple à supprimer 

On va commecer par une solution simple: 

Avant de commencer, fais une sauvegarde de tous tes documents  

Attention pour ceux qui parcourent ce sujet, cet outil n'est pas à utiliser à la légère, et doit être recommandé uniquement par une personne formée à cet outil  
Imprime la procédure  

Télécharge ComboFix de sUBs sur ton Bureau :  
http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

/!\Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. 
La simple désactivation du résident n'est pas suffisante. 
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover 
Choisis la version adéquate (32 ou 64 bits)/!\ 

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix  

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 
-  Double-clique sur ComboFix.exe  
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  
-  Surtout, accepte d'installer la console de récupération  

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC  
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

Note : Le rapport se trouve également là : C:\ComboFix.txt 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

@nicolito

Il faut vraiment que tu reviennes sur le forum, car tu as une saleté difficile à enlever. Sinon il faudra formater ton disque et tu risques de perdre toutes données personnelles 

Smart

nicolito · Answer

Je suis juste en train de sauvegarder mes données.....mais si c'est aussi difficile que ça, ne penses tu pas que vu que mes données sont sauvegardées, il serait plus simple de directement formater mon disque dur ?

Nico

Smart91 · Answer

On va essayer de l'éviter. C'est mieux

Smart

nicoltio · Answer

Hello !
Est-ce que tu as réussi à voir le rapport ? Je l'ai publié mais je n'ai pas l'impression que ça à fonctionner...

Merci 
Nico

Smart91 · Answer

Non le rapport n'est pas présent. Tu l'as fait aujurd'hui ?
S'il est trop long poste le via cijoint 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nicoltio · Answer

Non il y a une semaine...je vais réessayer...un simple copier-coller suffit non ? Sinon tu as oublié le lien s il est trop long...

Merci
Nico

Smart91 · Answer

Non je ne l'ai pas oublié, car je ne l'ai pas vu !
Il est possible que le robot CCM l'ait supprimé. C'est pour cette raison poste l via cijoint  
Le mieux est de relancer un scan ComboFix et poster le rapport 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nicoltio · Answer

ComboFix 11-01-20.03 - Nico 21.01.2011  13:27:01.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.3572.2975 [GMT 1:00]
Lancé depuis: c:\documents and settings\Nico\Bureau\ComboFix.exe
AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Microsoft
c:\documents and settings\All Users\Microsoft\OfficeSoftwareProtectionPlatform\Cache\cache.dat
c:\documents and settings\All Users\Microsoft\OfficeSoftwareProtectionPlatform	okens.dat
c:\documents and settings\Nico\Application Data\completescan
c:\documents and settings\Nico\Application Data\install
c:\program files\AskSearch\bin\DeFAultsearch.dll
c:\windows\system32\mswmpdat.tlb

c:\windows\system32\winlogon.exe . . . est infecté!!

c:\windows\explorer.exe . . . est infecté!!

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-21 au 2011-01-21  ))))))))))))))))))))))))))))))))))))
.

2011-01-20 09:57 . 2011-01-20 09:58	--------	d-----w-	c:\program files\ZHPDiag

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 12:32 . 2009-01-21 18:49	0	----a-w-	c:\documents and settings\Nico\Local Settings\Application Data\WavXMapDrive.bat
2010-11-29 16:42 . 2010-12-03 08:47	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-11-29 16:42 . 2010-12-03 08:47	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-11-18 18:12 . 2008-04-25 17:59	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-09 14:52 . 2008-04-25 12:46	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2008-04-25 12:46	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2008-04-25 12:46	43520	------w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2008-04-25 12:46	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:26 . 2008-04-25 12:46	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 15:17 . 2008-04-25 12:46	40960	----a-w-	c:\windows\system32\drivers
dproxy.sys
2010-10-28 13:14 . 2008-04-25 12:46	290048	----a-w-	c:\windows\system32\atmfd.dll
2010-10-26 13:59 . 2008-04-25 12:46	1862400	----a-w-	c:\windows\system32\win32k.sys
2009-06-04 06:17 . 2010-03-16 09:24	3145728	----a-w-	c:\program files\Fichiers communs\sapxlhelper.dll
2009-06-04 06:17 . 2010-03-16 09:24	192512	----a-w-	c:\program files\Fichiers communs\sapconsr3.dll
2009-06-04 06:17 . 2010-03-16 09:24	626688	----a-w-	c:\program files\Fichiers communs\sapconsaccess.dll
2009-06-04 06:17 . 2010-03-16 09:24	40960	----a-w-	c:\program files\Fichiers communs\DigitalSignature.ocx
2009-05-01 21:02 . 2009-01-27 01:34	1044480	----a-w-	c:\program files\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-01-27 01:34	200704	----a-w-	c:\program files\mozilla firefox\plugins\ssldivx.dll
.

------- Sigcheck -------

[-] 2008-04-14 . 4776F13D4809243F7121B1A0E4C6AE4F . 512000 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2008-04-14 . DD7A4627251652C7CD605AF50C3FAC50 . 1037824 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{18c2d815-3a16-4493-9004-77949214a70e}"= "c:\program files\Messenger_Plus_Live_Switzerland-_DE	bMess.dll" [2010-11-13 3913000]

[HKEY_CLASSES_ROOT\clsid\{18c2d815-3a16-4493-9004-77949214a70e}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18c2d815-3a16-4493-9004-77949214a70e}]
2010-11-13 20:58	3913000	----a-w-	c:\program files\Messenger_Plus_Live_Switzerland-_DE	bMess.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-09-29 16:24	325000	----a-w-	c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-11-13 20:58	3913000	----a-w-	c:\program files\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]
"{18c2d815-3a16-4493-9004-77949214a70e}"= "c:\program files\Messenger_Plus_Live_Switzerland-_DE	bMess.dll" [2010-11-13 3913000]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-11-13 3913000]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{18c2d815-3a16-4493-9004-77949214a70e}]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{18C2D815-3A16-4493-9004-77949214A70E}"= "c:\program files\Messenger_Plus_Live_Switzerland-_DE	bMess.dll" [2010-11-13 3913000]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-09-29 325000]

[HKEY_CLASSES_ROOT\clsid\{18c2d815-3a16-4493-9004-77949214a70e}]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\EnabledUnlockedFDEIconOverlay]
@="{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}"
[HKEY_CLASSES_ROOT\CLSID\{30D3C2AF-9709-4D05-9CF4-13335F3C1E4A}]
2008-11-09 18:10	40960	----a-w-	c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\UninitializedFdeIconOverlay]
@="{CF08DA3E-C97D-4891-A66B-E39B28DD270F}"
[HKEY_CLASSES_ROOT\CLSID\{CF08DA3E-C97D-4891-A66B-E39B28DD270F}]
2008-11-09 18:10	40960	----a-w-	c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-17 39408]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-10-07 323392]
"Google Update"="c:\documents and settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2010-10-18 136176]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-10-11 14940040]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\DellTPad\Apoint.exe" [2008-10-28 200704]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2008-10-28 471040]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-07 13537280]
"nwiz"="nwiz.exe" [2008-08-07 1630208]
"NVHotkey"="nvHotkey.dll" [2008-08-07 90112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-07 86016]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-06-15 178712]
"ChangeTPMAuth"="c:\program files\Wave Systems Corp\Common\ChangeTPMAuth.exe" [2008-09-24 184320]
"WavXMgr"="c:\program files\Wave Systems Corp\Services Manager\Docmgr\bin\WavXDocMgr.exe" [2008-09-26 145408]
"SecureUpgrade"="c:\program files\Wave Systems Corp\SecureUpgrade.exe" [2008-11-10 656696]
"EmbassySecurityCheck"="c:\program files\Wave Systems Corp\EMBASSY Security Setup\EMBASSYSecurityCheck.exe" [2008-11-10 91448]
"DellControlPoint"="c:\program files\Dell\Dell ControlPoint\Dell.ControlPoint.exe" [2008-08-18 598016]
"USCService"="c:\program files\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService.exe" [2008-11-10 24576]
"IntelZeroConfig"="c:\program files\Intel\WiFi\bin\ZCfgSvc.exe" [2008-07-10 1351680]
"IntelWireless"="c:\program files\Fichiers communs\Intel\WirelessCommon\iFrmewrk.exe" [2008-07-10 1191936]
"Dell Webcam Central"="c:\program files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" [2008-10-17 442536]
"PDVDDXSrv"="c:\program files\CyberLink\PowerDVD DX\PDVDDXSrv.exe" [2008-05-23 128296]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"SAP_WUS_UNT"="c:\program files\SAP\SAPsetup\setup\Updater\NwSapSetupUserNotificationTool.exe" [2009-06-17 212992]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-07-21 141608]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-8-15 604776]
Dell ControlPoint System Manager.lnk - c:\program files\Dell\Dell ControlPoint\System Manager\DCPSysMgr.exe [2008-11-11 950048]
Digital Line Detect.lnk - c:\program files\Digital Line Detect\DLG.exe [2009-1-17 50688]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\WINDOWS\system32\dplaysvr.exe"=
"c:\Program Files\DNA\btdna.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\Mozilla Firefox\firefox.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\WINDOWS\system32\dpvsetup.exe"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"c:\WINDOWS\system32\dxdiag.exe"=
"c:\Program Files\QuickTime\QuickTimePlayer.exe"=
"c:\Program Files\Left.4.Dead.2-THEPiRATEGAY\left4dead2.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Microsoft Office\Office14\GROOVE.EXE"=
"c:\Program Files\Microsoft Office\Office14\ONENOTE.EXE"=
"c:\Program Files\Microsoft Office\Office14\OUTLOOK.EXE"=
"c:\Program Files\Google\Google Earth\client\googleearth.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [24.09.2009 15:25 721904]
R2 ASFAgent;ASF Agent;c:\program files\Intel\ASF Agent\ASFAgent.exe [19.04.2007 06:56 133968]
R2 buttonsvc32;Dell ControlPoint Button Service;c:\program files\Dell\Dell ControlPoint\DCPButtonSvc.exe [04.09.2008 18:28 406808]
R2 Credential Vault Host Control Service;Credential Vault Host Control Service;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostControlService.exe [31.07.2008 22:41 808296]
R2 Credential Vault Host Storage;Credential Vault Host Storage;c:\program files\Broadcom Corporation\Broadcom USH Host Components\CV\bin\HostStorageService.exe [31.07.2008 22:41 21352]
R2 dcpsysmgrsvc;Dell ControlPoint System Manager;c:\program files\Dell\Dell ControlPoint\System Manager\DCPSysMgrSvc.exe [11.11.2008 16:00 451872]
R2 NWSAPAutoWorkstationUpdateSvc;SAPSetup Automatic Workstation Update Service;c:\program files\SAP\SapSetup\setup\Updater\NwSapAutoWorkstationUpdateService.exe [16.03.2010 10:25 253952]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [17.01.2009 08:39 112128]
R3 cvusbdrv;Broadcom USH CV;c:\windows\system32\drivers\cvusbdrv.sys [17.01.2009 08:39 32808]
R3 e1yexpress;Intel(R) Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y5132.sys [17.01.2009 08:39 244368]
R3 OA001Afx;Provides a software interface to control audio effects of OA001 camera.;c:\windows\system32\drivers\OA001Afx.sys [17.01.2009 08:39 148056]
R3 OA001Ufd;Creative Camera OA001 Upper Filter Driver;c:\windows\system32\drivers\OA001Ufd.sys [17.01.2009 08:39 144672]
R3 OA001Vid;Creative Camera OA001 Function Driver;c:\windows\system32\drivers\OA001Vid.sys [17.01.2009 08:39 277440]
S2 gupdate1ca443d9e0710fc;Service Google Update (gupdate1ca443d9e0710fc);c:\program files\Google\Update\GoogleUpdate.exe [03.10.2009 16:24 133104]
S3 AsfAlrt;AsfAlrt Service;c:\windows\system32\drivers\Asfalrt.sys [19.04.2007 06:28 42832]
S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\Nico\LOCALS~1\Temp\PHO2A.tmp --> c:\docume~1\Nico\LOCALS~1\Temp\PHO2A.tmp [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [15.01.2010 13:49 227232]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [25.03.2010 09:25 30969208]
S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09.01.2010 20:37 4640000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
.
Contenu du dossier 'Tâches planifiées'

2010-11-02 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2011-01-21 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-01-17 12:16]

2011-01-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-03 15:24]

2011-01-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-03 15:24]

2011-01-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1688241396-1669031324-331813384-1005Core.job
- c:\documents and settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-12-03 15:03]

2011-01-21 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1688241396-1669031324-331813384-1005UA.job
- c:\documents and settings\Nico\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2010-12-03 15:03]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.ch/
uInternet Connection Wizard,ShellNext = hxxp://www.google.ch/ig/dell?hl=fr&client=dell-row-rel&channel=ch&ibd=6090117
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=%s
IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath - c:\documents and settings\Nico\Application Data\Mozilla\Firefox\Profiles\y1wcshap.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage - hxxp://www.google.ch/
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q=
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Skype extension for Firefox: {AB2CE124-6272-4b12-94A9-7303C7397BD1} - c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
FF - Ext: Google Toolbar for Firefox: {3112ca9c-de6d-4884-a869-9855de68056c} - %profile%\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - Ext: Ask Toolbar for Firefox: {E9A1DEE0-C623-4439-8932-001E7D17607D} - %profile%\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Cooliris: piclens@cooliris.com - %profile%\extensions\piclens@cooliris.com
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
pref(dom.disable_open_during_load, true);
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-cakeflap - c:\docume~1\Nico\APPLIC~1\FRAGJU~1\Default bags cash.exe
HKCU-Run-DAEMON Tools Lite - c:\program files\DAEMON Tools Lite\daemon.exe
HKLM-Run-SysTrayApp - %ProgramFiles%\IDT\WDM\sttray.exe
AddRemove-L4D2CT AS - c:\documents and settings\Nico\Bureau\Left.4.Dead.2-THEPiRATEGAY\Uninstall ADD.exe
AddRemove-L4D2SP - c:\documents and settings\Nico\Bureau\Left.4.Dead.2-THEPiRATEGAY\Uninstall.exe
AddRemove-SearchAssist - c:\dell\SearchAssist\UninstSA.bat



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-21 13:32
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\docume~1\Nico\LOCALS~1\Temp\PHO2A.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10l_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h-€|ÿÿÿÿ¤*€|ù*9~*]
"C040211900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(1204)
c:\windows\system32
etprovcredman.dll

- - - - - - - > 'explorer.exe'(3784)
c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmIconOverlay.dll
c:\progra~1\FICHIE~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\progra~1\MICROS~2\Office14\1036\GrooveIntlResource.dll
c:\windows\system32\btmmhook.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\Roxio\Drag-to-Disc\Shellex.dll
c:\program files\Fichiers communs\Roxio Shared\9.0\DLLShared\DLAAPI_W.DLL
c:\program files\Roxio\Drag-to-Disc\ShellRes.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Intel\WiFi\bin\S24EvMon.exe
c:\drivers\audio201108\stacsv.exe
c:\windows\System32\SCardSvr.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Intel\WiFi\bin\EvtEng.exe
c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32
vsvc32.exe
c:\program files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\Wave Systems Corp\Trusted Drive Manager\TdmService.exe
c:\program files\Intel\WiFi\bin\WLKeeper.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\program files\IDT\WDM\sttray.exe
c:\program files\DellTPad\ApMsgFwd.exe
c:\windows\system32undll32.exe
c:\windows\system32\RUNDLL32.EXE
c:\program files\DellTPad\HidFind.exe
c:\program files\DellTPad\Apntex.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Heure de fin: 2011-01-21  13:37:04 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-01-21 12:37

Avant-CF: 44'689'379'328 octets libres
Après-CF: 46'983'168'000 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 44F2BD5AD202DF132FAEFA2B11BB1602

nicoltio · Answer

Hahaha ok pardon j'ai pas compris le cijoint... alors voilà le rapport !

http://www.cijoint.fr/cjlink.php?file=cj201101/cija6AFCg9.txt

Merci 
Nico

Smart91 · Answer

Bon ComboFix n'a pas remplacé les fichiers corrompus par des fichiers sains
Est-ce que tu as un autre PC avec un graveur de CD/DVD ?

Et puis tu vas faire ceci:
Lance ZHPdiag et clique sur bouton Jumelles pour lancer ZHPSearch
- Sélectionner "Trojan.Batimal" dans la liste déroulante située en bas à droite 
- Cliquer sur le bouton "Loupe" pour lancer la recherche 
- En fin de recherche, cliquer sur le bouton "Afficher le rapport" 
- Poster le rapport

Smart

nicoltio · Answer

Oui je peux trouver un graveur sans problème.
Voilà le rapport

Rapport de ZHPSearch 1.23.13 par Nicolas Coolman, Update du 17/01/2011
Run by Nico at 30.01.2011 17:08:28
Windows XP Professional Service Pack 3 (Build 2600)

---\ Elément(s) de recherche
- Trojan.Batimal

---\ Liste des Fichiers & Dossiers:
[MD5.DD7A4627251652C7CD605AF50C3FAC50] - (.Microsoft Corporation.) 14.04.2008 13:00:00 | ---A- | -- C:\Windows\explorer.exe [1037824]   => Fichier inconnu
[MD5.4776F13D4809243F7121B1A0E4C6AE4F] - (.Microsoft Corporation.) 14.04.2008 13:00:00 | ---A- | -- C:\Windows\system32\winlogon.exe [512000]   => Fichier inconnu
[MD5.FB836F9E62D82904C983AD21296A5D9C] - (.Microsoft Corporation.) 14.04.2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2_32.dll [82432]   => Fichier sain
[MD5.36A608BF354FCC64AD6C0F2B5E2B8806] - (.Microsoft Corporation.) 14.04.2008 13:00:00 | ---A- | -- C:\Windows\System32\ws2help.dll [19968]

---\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 4
Nombre de fichiers analysés : 71184
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (00mn 24s)

Smart91 · Answer

Téléchage ce dossier sur ton Bureau :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijc83nKrQ.zip 

Dézippe le ==> Tu dois avoir sur ton bureau un dossier Smart contenant ces deux fichiers:
explorer.exe et winlogon.exe

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
FCOPY:C:\Windows\Explorer.exe | C:\Documents and Settings\Nico\Bureau\Smart\explorer.exe
FCOPY:C:\Windows\system32\winlogon.exe | C:\Documents and Settings\Nico\Bureau\Smart\Winlogon.exe
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

nicoltio · Answer

Rapport de ZHPFix 1.12.3239 par Nicolas Coolman, Update du 20/01/2011
Fichier d'export Registre : 
Run by Nico at 30.01.2011 22:20:59
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier(s) ==========
c:\windows\explorer.exe  => Supprimé et mis en quarantaine
C:\Windows\Explorer.exe | C:\Documents and Settings\Nico\Bureau\Smart\explorer.exe  => Fichier infecté remplacé par une copie saine
c:\windows\system32\winlogon.exe  => Supprimé et mis en quarantaine
C:\Windows\system32\winlogon.exe | C:\Documents and Settings\Nico\Bureau\Smart\Winlogon.exe  => Fichier infecté remplacé par une copie saine


========== Récapitulatif ==========
4 : Fichier(s)


End of the scan

Voilà, 
Nico

Smart91 · Answer

Redémarre le PC et refais un virustotal sur les deux fichiers ci-dessous et poste les liens vers les rapports:
c:\windows\explorer.exe
c:\windows\system32\winlogon.exe

Smart

nicolito · Answer

http://www.virustotal.com/file-scan/report.html?id=b2ef11f71b4e4b4fd9c04f83e1b8237edf9a84bb41b7aad3013b7c72c81460c7-1296588816

http://www.virustotal.com/file-scan/report.html?id=6b6bee3d7e31b4b5bd7903d2e3300e0974f195288d7add9fc72758e3686c2b22-1296588992

Voilà, merci !
Nico

Smart91 · Answer

Bon, ils onst toujours infectés, mais je m'en doutais un peu. cela veut dire que l'infection se met en mémoire au et infecte les fichiers en questions
Autre posibilité:

Tout d'abord as-tu un autre PC avec un graveur de CD ?
Si oui:
Grave ce CD : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090
Si non tu le fais deouis ton PC.

Tu démarres le PC infecté depuis le CD OTLPE. 

Pour cela, au démarrage de ton PC, tu dois accéder au bios (en appuyant sur une touche qui doit t'être indiquée, bien souvent F2 ou F6). Là, tu dois trouver un paramètre qui détermine l'ordre de boot. Il faut que tu fasses passer le lecteur de CD en premier

Ensuite fais ceci: 
- Double cliquer sur OTLPE
- Si tu obtient la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)  
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES 
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES 
- Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK 

OTL se lance 
- Copie ce texte en gras ci-dessous 
- Colle ce texte dans la partie Custom Scans/Files 

-------------------------------------------------- 
:files 
C:\Windows\explorer.exe|C:\Documents and Settings\Nico\Bureau\Smart\explorer.exe /replace 
C:\windows\system32\winlogon.exe|C:\Documents and Settings\Nico\Bureau\Smart\Winlogon.exe /replace 
------------------------------------------------- 
- Clique sur Run Fix en haut de la fenêtre 
- Si une fenêtre s'ouvre avec un message : No Fix has been Provided! Do you want to load it from a file ; cliquer sur YES 
- Coller le contenu du rapport dans la réponseNote : La rapport se trouve dans C:\OTL

 Smart

nicolito · Answer

Hello !

Juste pour être sûr, le OTLPE c'est la version standard ou network ?

Nico

Smart91 · Answer

Prends la version Network. Comme cela si on doit télécharger un outil pas de pb

Smart

nicolito · Answer

========== FILES ==========
File C:\Windows\explorer.exe successfully replaced with C:\Documents and Settings\Nico\Bureau\Smart\explorer.exe
File C:\windows\system32\winlogon.exe successfully replaced with C:\Documents and Settings\Nico\Bureau\Smart\Winlogon.exe
 
OTLPE by OldTimer - Version 3.1.44.2 log created on 02032011_135641


Voilà, merci !
Nico

Smart91 · Answer

OK. Maintenant redémare normalement ton PC, sans utiliser le CD OTLPE

Et refais un scan Virustotal sur les deux fichiers, n'oublie pas de faire reanalyze
C:\Windows\explorer.exe
C:\windows\system32\winlogon.exe

Et poste les liens vers les rapports

Smart

nicolito · Answer

http://www.virustotal.com/file-scan/report.html?id=1ab74a4ae472156a5d2c6714e2e1a60e3b32ceb4996f923887a12b6a27315d13-1296740045

http://www.virustotal.com/file-scan/report.html?id=ecef5a07dbc72e99adcb82af4dab143f5a2bad3812ccbfa87ea5e82e29e133fa-1296740421

Nico

Smart91 · Answer

Voilà. Maintenant c'est bon Explorer et winlogon ne sont plus infectés par Batimal.

On va pouvoir s'occuper des autres infections.
Relance ZHPDiag, clique sur le bouton flèche verte pour faite la mise à jour et l'installer.
Relance un scan et poste le rapport via cijoint.

Smart

nicolito · Answer

GENIAL !!!!

Merci beaucoup ! Vraiment t'assures !!!

Une petite question encore: si j'installe firefox le problème restera ou pas ?

En tous cas, merci encore ! Bonne fin de semaine !

Nico

Smart91 · Answer

Ce n'est pas terminé, comme je te l'ai dit je me suis occupé de l'infection Batimal mais il y en a d'autres, il faut que tu postes le rapport ZHPDiag demandé, afin de terminer correctement la désinfection. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nicolito · Answer

Ok désolé j'avais pas tout vu !

Alors voilà la suite,

http://www.cijoint.fr/cjlink.php?file=cj201102/cijcGCSNX5.txt

Nico

Smart91 · Answer

Tu vas faire ceci:

-  Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours 
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.  
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] . 
- Laisse travailler l'outil et ne touche à rien ... 
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log) 
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Ensuite tu fais ceci:

* Télécharge FixLop de NicoVA. 
* Lance l'installateur
* Clique deux fois sur Suivant puis cocher "Créer un icône sur le bureau"
* Clique sur Installer
* Clique enfin sur Terminer
* Clique sur "Recherche"
* Un rapport va s'afficher à la fin : Scan.txt sous C:\
* Colle le rapport dans ta prochaine réponse

Cela fait deux rapports à poster. Tu peux le faire directement par copié/collé dans tes réponses

Smart

nicolito · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 29/01/11 à 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:03:32 le 03/02/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Nico@NB-LAYAZ ( ) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskHPRFF.js
Fichier supprimé: C:\Program Files\Mozilla FireFox\Components\AskSearch.js
Dossier supprimé: C:\Documents and Settings\Nico\Application Data\Mozilla\FireFox\Profiles\y1wcshap.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
Fichier supprimé: C:\Documents and Settings\Nico\Application Data\Mozilla\FireFox\Profiles\y1wcshap.default\searchplugins\ask.xml
Dossier supprimé: C:\Documents and Settings\Nico\Application Data\Mozilla\FireFox\Profiles\y1wcshap.default\extensions\engine@conduit.com
Dossier supprimé: C:\Program Files\AskBarDis
Dossier supprimé: C:\Program Files\AskSearch
Dossier supprimé: C:\Documents and Settings\Nico\Local Settings\Application Data\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Documents and Settings\Nico\Local Settings\Application Data\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Nico\Application Data\Mozilla\FireFox\Profiles\y1wcshap.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask"); 
Ligne supprimée: user_pref("browser.search.order.1", "Ask"); 
Ligne supprimée: user_pref("browser.search.selectedEngine", "Ask"); 
Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true); 
Ligne supprimée: user_pref("extensions.snipit.chromeURL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&... 
Ligne supprimée: user_pref("keyword.URL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101761&gct=&gc=1&q="); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
Clé supprimée: HKLM\Software\Classes\CLSID\{1B8FC401-24A4-4459-A900-F9196A110367}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1B8FC401-24A4-4459-A900-F9196A110367}
Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé supprimée: HKLM\Software\Classes\CLSID\{2AAACECA-B745-481B-9216-646E96B834B7}
Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
Clé supprimée: HKLM\Software\Classes\CLSID\{62CC07FF-5409-4B9C-9D89-207531B319E9}
Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Clé supprimée: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2596225
Clé supprimée: HKLM\Software\AskBarDis
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKCU\Software\AskBarDis
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\AskSA
Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{BE742F7C-77EA-4F82-820C-D8AE986CB395}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.12 (fr)] **

-- C:\Documents and Settings\Nico\Application Data\Mozilla\FireFox\Profiles\y1wcshap.default\Prefs.js --
browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
browser.startup.homepage, hxxp://www.google.ch/
browser.startup.homepage_override.mstone, rv:1.9.2.12

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 107 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 03/02/2011 (8026 Octet(s)) 

Fin à: 21:04:31, 03/02/2011 
 
============== E.O.F ============== 


####### FixLop vers 1.0.2.2 [ Recherche ] #######

# Exécuté depuis C:\Program Files\FixLop
# Le 03/02/2011 à 21h13
# Utilisateur : Nico | NB-LAYAZ

# S.E : Microsoft Windows XP | Service Pack 3 | 32 bits
# CPU : Intel(R) Core(TM)2 Duo CPU     P8600  @ 2.40GHz

# Internet Explorer version [8.0.6001.18702]
# Mozilla Firefox : 3.6.12 (fr)

############## [ Processus ]


############## [ Fichiers/Dossiers ]

Dossier présent : C:\Documents and Settings\All Users\Application Data\byte loud style cool
Dossier présent : C:\Documents and Settings\Nico\Menu Démarrer\Programmes\Left 4 Dead 2
Fichier présent : C:\Program Files\Circle Developement

~~~~ Lecture fichier C:\Documents and Settings\Nico\Application Data\Mozilla\Firefox\Profiles\y1wcshap.default\prefs.js ~~~~ 


############## [ Clés de registres ]



############## [ Internet Explorer ]

-- [ HKLM\Software\Microsoft\Internet Explorer\Main ] --

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_search_url : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page : hxxp://fr.msn.com/
Local Page : C:\WINDOWS\system32\blank.htm

-- [ HKCU\Software\Microsoft\Internet Explorer\Main ] --

Search Page : 
Default_page_url : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_search_url : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page : hxxp://fr.msn.com/
Local Page : C:\WINDOWS\system32\blank.htm


########## [ ! SCAN fini le 03/02/2011 à 21h13 ]


Nico

Smart91 · Answer

oK. Relance AD-Remover et choisis "désinstaller"
Et passe Fixlop

Smart

NicoVA · Answer

Salut 

Désolé de l'incruste smart mais nicolito désinstalle Ad-Remover comme Smart a dit puis fais ceci pour FixLop : 

-> Relance FixLop  

-> Clic sur le bouton Script  

-> Copie et colle ce qui suit dans la fenêtre qui s'est ouverte : 


C:\Documents and Settings\All Users\Application Data\byte loud style cool  
C:\Program Files\Circle Developement  


-> Enregistre le fichier ( Fichier -> Enregistrer ) puis ferme le.  

-> Un rapport va s'ouvrir ( sinon il se situe dans C:\FixLop[script.txt], copie et colle le dans ta prochaine réponse pour Smart 

Bonne continuation :-)

nicolito · Answer

Hello,

Alors je suis pas sur, mais ca doit être ça le rapport :

####### FixLop vers 1.0.2.3 [ Script ] #######

# Exécuté depuis C:\Program Files\FixLop
# Le 06/02/2011 à 14h04
# Utilisateur : Nico | NB-LAYAZ

# S.E : Microsoft Windows XP | Service Pack 3 | 32 bits
# Internet Explorer version [8.0.6001.18702]

C:\Documents and Settings\All Users\Application Data\byte loud style cool 
C:\Program Files\Circle Developement 

================= EOF =================

Merci à vous deux !
Nico

Smart91 · Answer

C'est qu'ils on été supprimés.

Refais une scan ZHPDiag et poste le rapport via cijoint

Smart

nicolito · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijQfkgxkg.txt 

Nico

Smart91 · Answer

Il reste encore des traces:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O4 - HKLM\..\Run: [ChangeTPMAuth] Clé orpheline
[HKCU\Software\ELSE TWO TONS]
[HKCU\Software\pdfforge.org]
[HKLM\Software\pdfforge.org]
O43 - CFD: 22.01.2009 - 10:10:40 ----D- C:\Program Files\fragjumptype
O43 - CFD: 17.04.2009 - 17:05:34 ----D- C:\Documents and Settings\Nico\Application Data\fragjumptype
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Smart

nicolito · Answer

Rapport de ZHPFix 1.12.3248 par Nicolas Coolman, Update du 03/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-07.02.2011-22-45-41.txt
Run by Nico at 07.02.2011 22:45:40
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\ELSE TWO TONS  => Clé supprimée avec succès
HKCU\Software\pdfforge.org  => Clé supprimée avec succès
HKLM\Software\pdfforge.org  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [ChangeTPMAuth] Clé orpheline  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Program Files\fragjumptype  => Supprimé et mis en quarantaine
C:\Documents and Settings\Nico\Application Data\fragjumptype  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Valeur(s) du Registre
2 : Dossier(s)


End of the scan

Voilà,
Nico

Smart91 · Answer

Refais un scan ZHPDiag et poste le rapport pour une dernière vérification et on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

nicolito · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cij4Mexiq9.txt 

Voilà pour ZHPDiag,

En tous cas merci pour tout, mon PC fonctionne très bien depuis ton aide ! Merci ¨

Nico

Smart91 · Answer

OK Fais les mises à jour suivantes:

Mise àjour Firefox vers la version 3.6.13:
Allez dans ? > Rechercher des mises à jour ... et cliquez sur "Appliquer la mise à jour"
Sinon aller sur ce lien ==> http://www.mozilla-europe.org/fr/firefox/

Mise à jour Java 6 update 23 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 23

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
CTFDisabled
OPT:O4 - HKLM\..\Run: [nwiz] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32
wiz.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [ISUSPM] . (.Macrovision Corporation - Macrovision Software Manager.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1688241396-1669031324-331813384-1005\..\Run: [ISUSPM] . (.Macrovision Corporation - Macrovision Software Manager.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
OPT:O4 - HKUS\S-1-5-21-1688241396-1669031324-331813384-1005\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
OPT:O4 - HKUS\S-1-5-21-1688241396-1669031324-331813384-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Digital Line Detect.lnk . (.Avanquest Software.)  -- C:\Program Files\Digital Line Detect\DLG.exe
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 18.05.2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse.

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

nicolito · Answer

Rapport de ZHPFix 1.12.3248 par Nicolas Coolman, Update du 03/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-09.02.2011-19-55-18.txt
Run by Nico at 09.02.2011 19:55:18
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [nwiz] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32
wiz.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [ISUSPM] . (.Macrovision Corporation - Macrovision Software Manager.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1688241396-1669031324-331813384-1005\..\Run: [ISUSPM] . (.Macrovision Corporation - Macrovision Software Manager.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe  => Valeur absente
O4 - HKUS\S-1-5-21-1688241396-1669031324-331813384-1005\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  => Valeur absente
O4 - HKUS\S-1-5-21-1688241396-1669031324-331813384-1005\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur absente

========== Elément(s) de donnée du Registre ==========
CTFDisabled  => Donnée supprimée avec succès

========== Fichier(s) ==========
c:\documents and settings\all users\menu démarrer\programmes\démarrage\digital line detect.lnk  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
1 : Clé(s) du Registre
12 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Fichier(s)


End of the scan

Smart91 · Answer

C'est bon, tu peux faire la suite

Smart

nicolito · Answer

Ok parfait merci !!

J ai juste un problème pour Ccleaner, je vois pas ce qu'il faut télécharger...ou c'est le lien payant ?

Merci,
nico

Smart91 · Answer

Ce n'est pas un lien payant c'est pour faire un don  
Va sur le lien ci-dessous:

https://www.ccleaner.com/ccleaner/download/standard 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

nicolito · Answer

Tout est fait, merci infiniment de ton aide, vraiment tu assures a mille !!!

Bonne continuation, merci !!

Nico

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Lien sur google ou autre ne marche plus

48 réponses

Discussions similaires