searchqu Résolu/Fermé

Question

Bonjour, 



je viens de lire l'échange sur le forum entre cisia et anthony concernant l'installation involontaire de searchqu... 
j'ai le même problème: j'ai cliqué aujourd'hui sur un setup.exe que j'aurais mieux fait d'effacer.....
Je n'ai pas l'habitude des forums et je ne sais donc pas si je dois ouvrir un nouveau sujet (pour exactement le même problème de cisia) ou poster mon appel à l'aide à la suite du sien.
je vous remercie par avance pour vos conseil s et l'aide qu'éventellement vous pourrez m'apporter.

Utilisateur anonyme · Answer

Bonsoir

* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://www.teamxscript.org/adremoverTelechargement.html

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

@+

soft-machine · Answer

merci bcp Guillaume pour une aussi prompte réponse.. j'ai suivi les instructions et téléchargé Ad-remover sur le bureau mais si j'essaie de l'exécuter je ne le peux pas, le message d'erreur me disant que c'est dû soit à une installation incomplète soit à un medium abîmé (damaged media).

(?)

Utilisateur anonyme · Answer

Re

Procédons autrement:

Commençons par un diagnostic:

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

soft-machine · Answer

voici le fichier

http://www.cijoint.fr/cjlink.php?file=cj201101/cijKA3APX9.txt

merci beaucoup !

Utilisateur anonyme · Answer

Re

 Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
----------------------------------------------------------------------------------------------------

[MD5.EA7670482EF8C3D2788C6618A1023A76] - (.Bandoo Media Inc. - Fun4IM Coordinator.) -- C:\PROGRA~1\Fun4IM\Bandoo.exe   [1942416]    
[MD5.D4ED1300F915817C00FCFD7FA8EE1300] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Philippe\Application Data\Microsoft\conhost.exe   [172544]    
[MD5.3E0724E99C129D0946279D7118482185] - (.Discordia, LTD - Data Manager.) -- C:\PROGRA~1\WI9130~1\Datamngr\DATAMN~1.EXE   [985488]    
[MD5.D4ED1300F915817C00FCFD7FA8EE1300] - (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Philippe\Application Data\dwm.exe   [187392]    
[MD5.3E0724E99C129D0946279D7118482185] - (.Discordia, LTD - Data Manager.) -- C:\Program Files\Windows Searchqu Toolbar\Datamngr\datamngrUI.exe   [985488]    
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/sidebar.html?src=ssb&sysid=403
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchqu.com/sidebar.html?src=ssb&sysid=403
Proxyfix
O2 - BHO: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} . (.Pas de propriétaire - Pas de description.) -- C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll    
O2 - BHO: Bandoo IE Plugin - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} . (.Bandoo Media Inc. - Bandoo IE Plugin.) -- C:\Program Files\Fun4IM\Plugins\IE\ieplugin.dll    
O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} . (.Secure Digital Services Limited - OfferBox.) -- C:\Program Files\OfferBox\OfferBoxBHO.dll    
O3 - Toolbar: Searchqu Toolbar - {7FF99715-3016-4381-84CE-E4E4C9673020} . (.Pas de propriétaire - Pas de description.) -- C:\PROGRA~1\WI9130~1\ToolBar\SearchquDx.dll    
O4 - HKLM\..\Run: [conhost] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Philippe\Application Data\Microsoft\conhost.exe
O4 - HKLM\..\RunOnce: [removeSearchqudatamngr] Clé orpheline
O4 - HKLM\..\RunOnce: [removeSearchqutoolbar] Clé orpheline
O4 - HKLM\..\RunOnce: [SpybotDeletingA7179] command.com \c del C:\Documents and Settings\Philippe\Local Settings\Temp\csrss.exe_old (.not file.)
O4 - HKCU\..\RunOnce: [SpybotDeletingB7560] command.com \c del C:\Documents and Settings\Philippe\Local Settings\Temp\csrss.exe_old (.not file.)
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\OfferBox Browser.lnk . (.Secure Digital Services Limited.)  -- C:\Program Files\OfferBox\OfferBoxLauncher.exe    
O20 - AppInit_DLLs: . (.Pas de propriétaire - Pas de description.) -  c:\progra~1\fun4im\bndhook.dll (.not file.)    
O23 - Service:  (Fun4IM Coordinator) . (.Bandoo Media Inc. - Fun4IM Coordinator.) - C:\PROGRA~1\Fun4IM\Bandoo.exe    
ServiceStop: Fun4IM Coordinator
Hostfix
O64 - Services: CurCS - C:\PROGRA~1\Fun4IM\Bandoo.exe - Fun4IM Coordinator (Fun4IM Coordinator)  .(.Bandoo Media Inc. - Fun4IM Coordinator.) - LEGACY_FUN4IM_COORDINATOR    

--------------------------------------------------------------------------------------------
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »
. 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent. 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ]

> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées. 

* Enfin clique sur le bouton [ Nettoyer]. 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 



A+

soft-machine · Answer

j'ai fait toute la manoeuvre et lancé le nettoyage... La barre de progression verte s'est interrompue presque aussitôt accompagnée de l'ouverture d'une fenêtre avec le message :"Type de données incorrect pour SearchAssistant".
Et c'est resté bloqué là ....
Je ne suis pas sous Vista mais sous XP, mais je ne pense pas que ça change qquechose... je suis un peu désemparé, là ...:)

Utilisateur anonyme · Answer

Re

La manière forte:

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

soft-machine · Answer

bonjour Guillaume,

j'ai suivi les instructions hier soir mais n'ai pas pu attendre la fin car je me suis rendu compte que je devais partir au travail (je travaile de nuit). De retour ce matin, je ne trouve pas trace du travail de combo mais un message "le système a récupéré d'une erreur sérieuse, etc ...
D'autre part, plus possible de naviguer ni avec Firefox ni avec IE.. 
Je relance Combo qui fait son travail et cette fois j'ai le rapport ..
Nouvel essai de navigation : toujours rien.
Retour à plusieurs points de restauration : toujours rien.

Et là, je ne sais pas pourquoi je peux naviguer avec IE, ce qui me permet de me reconnecter à ce forum et de t'envoyer enfin des nouvelles :)

A propos, normalement mon navigateur est Firefox; je ne me sers jamais de IE.

comment dois-je procéder pour poster le rapport de combo ? Je ne me souviens plus quel programme on utilise....

merci!

Utilisateur anonyme · Answer

Bonjour

Merci de me poster le rapport Combofix.
Il ne faut pas faire n'importe quoi sans avis;merci.

@+

soft-machine · Answer

oui bien sûr.. Mais comment doisj-je procéder pour poster ce rapport ? je ne sais plus la procédure (voir mon message précédent). Ou est-ce que je fais un copier coller et que je le poste ici ?

merci

soft-machine · Answer

ah oui, voilà.. Je n'ai pas retrouvé le rapport sur mon PC (je ne sais pas pourquoi), et il n'y a pas de dossier C/combofix..., mais heureusement je l'avais sauvegardé sur une clé USB dès qu'il s'était ouvert sur mon écran à la fin de la procédure.
Pour tenter de le retrouver dans C j'ai fait "recherche" mais je ne trouve qu'un log.txt vide, et un fichier qui s'appelle "errorlog.txt".. Bizarre tout ça.

J'avais aussi oublié de préciser dans mon premier message aujourd'hui qu'en plus du message "système a récupéré d'une erreur sérieuse..", j'ai eu plusieurs autres messages d'erreur en faisant d'autres manips normales. J'en ai fait des captures d'écran..
Mais bref, voici le copié-collé du diagnostic de Combo.

ComboFix 11-01-28.03 - Philippe 30/01/2011  10:09:24.2.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2037.1530 [GMT 1:00]
Lancé depuis: c:\documents and settings\Philippe\Bureau\adeshi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
c:\documents and settings\Julia\Application Data\ACD Systems\ACDSee\ImageDB.ddf
c:\documents and settings\Julia\Application Data\Dossier de téléchargement Share-to-Web 
c:\documents and settings\Philippe\Application Data\ACD Systems\ACDSee\ImageDB.ddf
c:\documents and settings\Philippe\Application Data\dwm.exe
c:\documents and settings\Philippe\Application Data\Microsoft\conhost.exe
c:\documents and settings\Philippe\Application Data\Mozilla\Firefox\Profiles\uxhwnvj9.default\searchplugins\SearchquWebSearch.xml
c:\documents and settings\Philippe\Application Data\OfferBox
c:\documents and settings\Philippe\Application Data\OfferBox\config.dat
c:\documents and settings\Philippe\Application Data\OfferBox\config.xml
c:\program files\Mozilla Firefox\searchplugins\SearchquWebSearch.xml
c:\program files\OfferBox
c:\program files\OfferBox\OfferBox.exe
c:\program files\OfferBox\OfferBoxBHO.dll
c:\program files\OfferBox\OfferBoxChromeExtension.crx
c:\program files\OfferBox\OfferBoxEngine.dll
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome.manifest
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\events.js
c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\overlay.xul
c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.dll
c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.xpt
c:\program files\OfferBox\offerboxffx@offerbox.com\install.rdf
c:\program files\OfferBox\OfferBoxLauncher.exe
c:\program files\OfferBoxes\language.xml
c:\program files\OfferBoxes\loader.gif
c:\program files\OfferBox\uninst.exe
c:\program files\Windows Searchqu Toolbar
c:\windows\OPTIONS\CABS\_desktop.ini
c:\windows\patch.exe
c:\windows\system32\Temp

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-28 au 2011-01-30  ))))))))))))))))))))))))))))))))))))
.

2011-01-29 16:27 . 2011-01-29 19:27	--------	d-----w-	c:\program files\ZHPDiag
2011-01-29 15:34 . 2011-01-29 15:34	7938	----a-w-	c:\documents and settings\Philippe\Local Settings\Application Data\GLF1E3E.tmp
2011-01-29 15:34 . 2011-01-29 15:34	26	----a-w-	c:\documents and settings\Philippe\Local Settings\Application Data\GLF1E3F.tmp
2011-01-29 15:29 . 2011-01-29 15:29	--------	d-----w-	c:\program files\icons
2011-01-29 15:29 . 2011-01-29 15:29	--------	d-----w-	c:\documents and settings\Philippe\Application Data\Bandoo
2011-01-29 15:28 . 2011-01-29 15:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Bandoo
2011-01-29 15:28 . 2011-01-29 15:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Fun4IM
2011-01-29 15:28 . 2011-01-29 19:27	--------	d-----w-	c:\program files\Fun4IM
2011-01-20 19:47 . 2011-01-20 19:47	--------	d-----w-	c:\documents and settings\Philippe\Application Data\Amazon
2011-01-20 19:43 . 2011-01-20 19:43	--------	d-----w-	c:\program files\Amazon
2010-12-31 17:45 . 2010-12-31 18:36	--------	d-----w-	c:\documents and settings\Julia & Nicolas\Collège, amis

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-21 08:13 . 2010-04-30 15:46	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-23 22:21 . 2010-04-30 15:46	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-03-16 13:36 . 2009-03-16 13:36	1691464	----a-w-	c:\program files\dsetup32.dll
2009-03-16 13:35 . 2009-03-16 13:35	525128	----a-w-	c:\program files\DXSETUP.exe
2009-03-16 13:35 . 2009-03-16 13:35	94024	----a-w-	c:\program files\DSETUP.dll
.

------- Sigcheck -------

[7] 2008-04-13 . 9F3A2F5AA6875C72BF062C712CFA2674 . 96512 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\atapi.sys
[-] 2004-08-03 21:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\atapi.sys
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]
"RegistryMechanic"="c:\program files\Registry Mechanic\RegMech.exe" [2008-07-08 2828184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-20 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-20 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-20 138008]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 16132608]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Acronis True Image Monitor"="c:\program files\Acronis\TrueImage\TrueImageMonitor.exe" [2008-01-24 417431]
"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2008-01-24 61440]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 172032]
"CONNECTScheduler"="c:\program files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" [2006-03-23 75336]
"CloneCDElbyCDFL"="c:\program files\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056]
"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 57344]
"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2004-12-07 449536]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.exe.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-5-20 110592]
CONNECTAUTrayApp.lnk - c:\program files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe [2006-3-30 124488]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Sagem - Utilitaire r'seau pour Cl' USB Wi-Fi 802.11g.lnk - c:\program files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe [2008-4-2 679936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Fun4IM\BndHook.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0lsdelete\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe"=
"c:\Program Files\Valve\Steam\SteamApps\kbrp8\counter-strike\hl.exe"=
"c:\Program Files\Valve\Steam\SteamApps\kbrp8\condition zero\hl.exe"=
"c:\Program Files\WinMX\WinMX.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"c:\WINDOWS\system32\dplaysvr.exe"=
"c:\Cavedog\Kingdoms\KINGDOMS.icd"=
"c:\Program Files\FileZilla FTP Client\filezilla.exe"=
"c:\Program Files\LeechFTP\Leechftp.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe"=

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [24/01/2008 11:06 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [24/01/2008 11:06 5248]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [30/04/2010 16:46 135336]
R2 Application Policy Service;Application Policy Service;"c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe" [29/01/2011 16:29 4644352]
S2 Fun4IM Coordinator;Fun4IM Coordinator;"c:\progra~1\Fun4IM\Bandoo.exe" --> c:\progra~1\Fun4IM\Bandoo.exe [?]
S3 65681d1c-8996-460e-83be-fbe2015965bb;65681d1c-8996-460e-83be-fbe2015965bb;\??\e:\player\cds300.dll --> e:\player\cds300.dll [?]
S3 8d5c842b-9de2-4b53-91c5-80ab08163e15;8d5c842b-9de2-4b53-91c5-80ab08163e15;\??\e:\player\cds300.dll --> e:\player\cds300.dll [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [24/01/2008 11:35 1527900]
S3 ovt530;Webcam Deluxe;c:\windows\system32\drivers\ov530vid.sys [17/07/2008 12:04 161792]
S3 RTPP2K;RTPP2K;c:\windows\system32\driverstpp2k.sys [11/10/2008 13:34 87374]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [02/04/2008 13:43 379456]
.
Contenu du dossier 'Tâches planifiées'

2011-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uInternet Settings,ProxyServer = http=127.0.0.1:62020
uSearchAssistant = 
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
Trusted Zone: secuser.com\www
FF - ProfilePath - c:\documents and settings\Philippe\Application Data\Mozilla\Firefox\Profiles\uxhwnvj9.default\
FF - prefs.js: browser.search.selectedEngine - Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.searchqu.com/403
FF - prefs.js: keyword.URL - hxxp://www.searchqu.com/web?src=ffb&systemid=403&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 62020
FF - prefs.js: network.proxy.type - 1
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-zzzHPSETUP - E:\Setup.exe
AddRemove-KB923789 - c:\windows\system32\MacroMed\Flash\genuinst.exe
AddRemove-OfferBox Browser - c:\program files\OfferBox\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-30 10:16
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
.
Heure de fin: 2011-01-30  10:18:22
ComboFix-quarantined-files.txt  2011-01-30 09:18

Avant-CF: 10 453 319 680 octets libres
Après-CF: 10 442 280 960 octets libres

- - End Of File - - 2326CFD3EBB4481FAEB20159327AE95B

Utilisateur anonyme · Answer

Re

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===| 
                ----------------------------------------------------------------------------------------------- 

Toujours avec toutes les protections désactivées, fais ceci : 

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) 
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : 

                                       ---------------------------------------------------------- 


Dds::
uInternet Settings,ProxyServer = http=127.0.0.1:62020

Fcopy::
c:\windows\ServicePackFiles\i386\atapi.sys | c:\windows\system32\drivers\atapi.sys    


                              -----------------------------------------------------------------

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt 
* Quitte le Bloc Notes 

* Fais un glisser/déposer de ce fichier CFScript sur le fichier asdehi.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US 
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt


@+

soft-machine · Answer

voilà. merci!

ComboFix 11-01-28.03 - Philippe 30/01/2011  15:58:26.3.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2037.1483 [GMT 1:00]
Lancé depuis: c:\documents and settings\Philippe\Bureau\adeshi.exe
Commutateurs utilisés :: c:\documents and settings\Philippe\Bureau\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
--------------- FCopy ---------------

c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys
.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-28 au 2011-01-30  ))))))))))))))))))))))))))))))))))))
.

2011-01-30 13:50 . 2011-01-30 13:50	--------	d-----w-	c:\windows\LastGood
2011-01-29 16:27 . 2011-01-29 19:27	--------	d-----w-	c:\program files\ZHPDiag
2011-01-29 15:34 . 2011-01-29 15:34	7938	----a-w-	c:\documents and settings\Philippe\Local Settings\Application Data\GLF1E3E.tmp
2011-01-29 15:34 . 2011-01-29 15:34	26	----a-w-	c:\documents and settings\Philippe\Local Settings\Application Data\GLF1E3F.tmp
2011-01-29 15:29 . 2011-01-29 15:29	--------	d-----w-	c:\program files\icons
2011-01-29 15:29 . 2011-01-29 15:29	--------	d-----w-	c:\documents and settings\Philippe\Application Data\Bandoo
2011-01-29 15:28 . 2011-01-29 15:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Bandoo
2011-01-29 15:28 . 2011-01-29 15:28	--------	d-----w-	c:\documents and settings\All Users\Application Data\Fun4IM
2011-01-29 15:28 . 2011-01-29 19:27	--------	d-----w-	c:\program files\Fun4IM
2011-01-20 19:47 . 2011-01-20 19:47	--------	d-----w-	c:\documents and settings\Philippe\Application Data\Amazon
2011-01-20 19:43 . 2011-01-20 19:43	--------	d-----w-	c:\program files\Amazon
2010-12-31 17:45 . 2010-12-31 18:36	--------	d-----w-	c:\documents and settings\Julia & Nicolas\Collège, amis

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-21 08:13 . 2010-04-30 15:46	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-23 22:21 . 2010-04-30 15:46	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-03-16 13:36 . 2009-03-16 13:36	1691464	----a-w-	c:\program files\dsetup32.dll
2009-03-16 13:35 . 2009-03-16 13:35	525128	----a-w-	c:\program files\DXSETUP.exe
2009-03-16 13:35 . 2009-03-16 13:35	94024	----a-w-	c:\program files\DSETUP.dll
.

(((((((((((((((((((((((((((((   SnapShot@2011-01-30_09.16.39   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-30 09:55 . 2011-01-30 09:55	16384              c:\windows\Temp\Perflib_Perfdata_4ec.dat
+ 2004-08-03 21:59 . 2008-04-13 18:40	96512              c:\windows\system32\dllcache\atapi.sys
+ 2011-01-29 15:30 . 2011-01-30 14:57	30843              c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\src_index.dat
+ 2011-01-29 15:30 . 2011-01-30 14:57	5622              c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service
odes.dat
+ 2008-07-16 08:56 . 2011-01-30 09:54	763744              c:\windows\system32\Restorestrlog.dat
+ 2011-01-29 15:30 . 2011-01-30 14:57	2113855              c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\key_index.dat
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]
"RegistryMechanic"="c:\program files\Registry Mechanic\RegMech.exe" [2008-07-08 2828184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-04-20 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-04-20 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-20 138008]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 16132608]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Acronis True Image Monitor"="c:\program files\Acronis\TrueImage\TrueImageMonitor.exe" [2008-01-24 417431]
"Acronis Scheduler2 Service"="c:\program files\Fichiers communs\Acronis\Schedule2\schedhlp.exe" [2008-01-24 61440]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 241664]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe" [2004-03-04 172032]
"CONNECTScheduler"="c:\program files\Sony\CONNECTAutoUpdate\CONNECTScheduler.exe" [2006-03-23 75336]
"CloneCDElbyCDFL"="c:\program files\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056]
"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2001-07-03 57344]
"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-04 281768]
"AnyDVD"="c:\program files\SlySoft\AnyDVD\AnyDVD.exe" [2004-12-07 449536]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Adobe Gamma Loader.exe.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-5-20 110592]
CONNECTAUTrayApp.lnk - c:\program files\Sony\CONNECTAutoUpdate\CONNECTAUTrayApp.exe [2006-3-30 124488]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Sagem - Utilitaire r'seau pour Cl' USB Wi-Fi 802.11g.lnk - c:\program files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe [2008-4-2 679936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\progra~1\Fun4IM\BndHook.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0lsdelete\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\WINDOWS\pchealth\helpctr\binaries\HelpCtr.exe"=
"c:\Program Files\Valve\Steam\SteamApps\kbrp8\counter-strike\hl.exe"=
"c:\Program Files\Valve\Steam\SteamApps\kbrp8\condition zero\hl.exe"=
"c:\Program Files\WinMX\WinMX.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\WINDOWS\system32\dpnsvr.exe"=
"c:\WINDOWS\system32\dplaysvr.exe"=
"c:\Cavedog\Kingdoms\KINGDOMS.icd"=
"c:\Program Files\FileZilla FTP Client\filezilla.exe"=
"c:\Program Files\LeechFTP\Leechftp.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe"=

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [24/01/2008 11:06 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [24/01/2008 11:06 5248]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [30/04/2010 16:46 135336]
R2 Application Policy Service;Application Policy Service;"c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe" [29/01/2011 16:29 4644352]
S2 Fun4IM Coordinator;Fun4IM Coordinator;"c:\progra~1\Fun4IM\Bandoo.exe" --> c:\progra~1\Fun4IM\Bandoo.exe [?]
S3 65681d1c-8996-460e-83be-fbe2015965bb;65681d1c-8996-460e-83be-fbe2015965bb;\??\e:\player\cds300.dll --> e:\player\cds300.dll [?]
S3 8d5c842b-9de2-4b53-91c5-80ab08163e15;8d5c842b-9de2-4b53-91c5-80ab08163e15;\??\e:\player\cds300.dll --> e:\player\cds300.dll [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [24/01/2008 11:35 1527900]
S3 ovt530;Webcam Deluxe;c:\windows\system32\drivers\ov530vid.sys [17/07/2008 12:04 161792]
S3 RTPP2K;RTPP2K;c:\windows\system32\driverstpp2k.sys [11/10/2008 13:34 87374]
S3 WlanUIG;Sagem 802.11g Wireless LAN USB Adapter Driver;c:\windows\system32\drivers\WlanUIG.sys [02/04/2008 13:43 379456]
.
Contenu du dossier 'Tâches planifiées'

2011-01-29 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = 
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
Trusted Zone: secuser.com\www
FF - ProfilePath - c:\documents and settings\Philippe\Application Data\Mozilla\Firefox\Profiles\uxhwnvj9.default\
FF - prefs.js: browser.search.selectedEngine - Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.searchqu.com/403
FF - prefs.js: keyword.URL - hxxp://www.searchqu.com/web?src=ffb&systemid=403&q=
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 62020
FF - prefs.js: network.proxy.type - 1
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-30 16:04
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="B2E1756D7440688DD5658E1C61E0D7AFE4EB08F4BDFCCA73E2BFA1672AE338C7770612D2028B322347BD1E38560F66739D3C0B6CC5BF7322E74BD2E814C01224784FBCA121B90121A277ADF12610D021A30ADB1AC939F351DA3CCAC1FC16A857CC91939AAA66263186D807863D4025AABA2F95516BA6B6DE43998E00D8A1E4C6E3A72AA6096D26E3E3AC6A539BBEA76B7806C38C5F885C8BFDEF97D53562623EFB6E084FBC733CAC7F420D5E54ECCD9DC76EE6E6EE23B6FCBA51D418ADA073EAAAC827C4575BD461F4EA164F11F3C1E1E8CA7423F67DCD3CFC50A841F5E29A61D8FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5CC038D530D6EB3452A6A0AC4980AC7933437EC2B65D588C7511C807CEA05486E59A2D298F2E7C794658B8928D5A8F62F42A5ADCD7DABEB283AA595FDAA395243A18A5C60E522A1B77487741F4AFA49552B335B770BD14339505B59C5E55104307C5C6BD8D532FE90211113876DC4BD1DDDC3E6D55A5976DA74EF70F825680CCAA223639AAF3E5F94920D89CC5E39973212593BAEF78BCA88AB72FAE070D588EDC2E90081AB9DAC1076818B52B0C5BBB7A8FCD013E5B2B8D60735C94BC213A3C2470E21E236D519E4B5F0AEF02618DCC9E2372C3D03CBE2822BDF67E898281EBDDF1B19020203D4D75815E5ABC31E3B092ED012CCCCB85EB9B50674EE9DEB7183B40F39A02A148723D4DB9A85D104354B2FDE8096CFD442DEAEC0C0AE9AD9F9E406E141D4A8951962BC334B47DD5C7862CE510C8FB0973A586D7B65C2DA72CC2471071189130E8239D6DD9F7C89B407D02BFCF015D6BBCF234DA2F91684A87A9FABF5E3502B554E845D3A9937F41AC4F8CA474EB8564819510C02D1CE7548DDEDD1BA2BC5CFA0E1BA906994BF66B46FA75363FE57D7752F48A5CDF9388CECDCFC3447820F1A6C24F23971087167E775FBA18656E636EFA57670069AE3E7F0DD056DF116F2CA2D304DF1D6AD2D9A85C41B0F0102CE753F26CBD065FCE8CF5459511188CE4849DD7966232F6DED257C948FCEC5BE650F86CC5794ACBF21081A13A469B04D88B8917CA7F76FA7DA4BD45021BBA588CF570C9D65A2EAD4376B703BD191A81CBE31C1048E18A2EA887D28A5ED88F8D2DC694227B7416F50701737E00834B055FC34FF29A06973DFAC75385B1DA23737D420042EEAFE98A2F8750DB4AD1E6805B79E22730BEC5C63547BC5CB4162F7657809229544896C64C74AE97C424ABDAA961D645DDB146DFB977D1620456F378B628F1892F4C8D77144335637F705AEF5AEF739BD958C99012E21C241FB8B64DBC7785CB6BA043DE600A4CA26C003A0F9FAC4129C08186D369A5E3DE6AB2BD3EAE40F88B54FCB0B22FEBA2EDE1"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3772)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2011-01-30  16:06:42
ComboFix-quarantined-files.txt  2011-01-30 15:06
ComboFix2.txt  2011-01-30 09:18

Avant-CF: 10 040 127 488 octets libres
Après-CF: 10 021 646 336 octets libres

- - End Of File - - 6B80FF3E090C463C933BB03C662F8A0E

Utilisateur anonyme · Answer

Re

* Télécharge   Ad-remover ( de C_XX ) sur ton bureau : 

http://www.teamxscript.org/adremoverTelechargement.html

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


@+

soft-machine · Answer

1) Ad-R
j'ai bien sur mon bureau Ad-R.exe. Mais si je clique sur l'icone pour l'installer j'ai un message d'erreur.. "Installer integrity check has failed. Common causes include incomplete download and damaged media. etc ...;"

2) Ad-remover
je ne vois ça nulle part sur mon bureau... (?)


je suis vraiment désolé; je ne me souviens d'ailleurs même plus oú j'ai eu le Ad-r que j'ai sur le bureau.. Je l'ai téléchargé hier ? Après ma nuit blanche j'ai un peu la tête dans le sac ...

merci beaucoup... !

soft-machine · Answer

je ne le trouvais pas car je cherchais un dossier et non un fichier... je suis désolé. Le voici

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 29/01/11 à 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:11:55 le 30/01/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Philippe@XXXX-371A6BD58C ( ) 
 
============== ACTION(S) ==============

Service: "Fun4IM Coordinator" Stoppé et supprimé 

Dossier supprimé: C:\Poker\Titan Poker
Fichier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Titan Poker.lnk
Dossier supprimé: C:\Documents and Settings\Philippe\Application Data\Mozilla\FireFox\Profiles\uxhwnvj9.default\extensions\firefox@bandoo.com
Dossier supprimé: C:\Documents and Settings\Philippe\Mes documents\PacificPoker
Fichier supprimé: C:\Documents and Settings\Philippe\Application Data\Microsoft\Internet Explorer\Quick Launch\Titan Poker.lnk
Dossier supprimé: C:\Documents and Settings\Philippe\Application Data\Bandoo
Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Bandoo
Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Fun4IM
Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Fun4IM
Dossier supprimé: C:\Program Files\Fun4IM
Dossier supprimé: C:\Documents and Settings\Philippe\Menu Démarrer\Programmes\Pacific Poker
Dossier supprimé: C:\Documents and Settings\Philippe\Application Data\PacificPoker
Dossier supprimé: C:\Program Files\PacificPoker
Fichier supprimé: C:\Documents and Settings\Philippe\Bureau\Pacific Poker.lnk
Fichier supprimé: C:\Documents and Settings\All Users\Bureau\Titan Poker.lnk

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Philippe\Application Data\Mozilla\FireFox\Profiles\uxhwnvj9.default\Prefs.js --
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://www.searchqu.com/403"); 
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.searchqu.com/web?src=ffb&systemid=403&q="); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé supprimée: HKLM\Software\Classes\CLSID\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{872F3C0B-4462-424c-BB9F-74C6899B9F92}
Clé supprimée: HKLM\Software\Classes\AppID\{9C123289-82E1-4da7-A3C2-B8D28AAD114B}
Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
Clé supprimée: HKLM\Software\Classes\CLSID\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{CE1CB632-6817-47b3-8587-D05AF75D6D5A}
Clé supprimée: HKLM\Software\Classes\AppID\{3AD7A5B6-610D-4A82-979E-0AED20920690}
Clé supprimée: HKLM\Software\Classes\Interface\{33DDFC61-F531-4982-8C32-4212B7835D44}
Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé supprimée: HKLM\Software\Classes\Interface\{6087829B-114F-42A1-A72B-B4AEDCEA4E5B}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\Interface\{A9005ED5-4A1D-4606-A4DF-1A25E7D7B417}
Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé supprimée: HKLM\Software\Classes\TypeLib\{3AD7A5B6-610D-4A82-979E-0AED20920690}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4410C118-B23C-406C-9F52-9CDABD90A5EA}
Clé supprimée: HKLM\Software\Classes\TypeLib\{62E5C9E1-A0E8-4F8C-8EAF-0F9250CC5786}
Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé supprimée: HKLM\Software\Classes\TypeLib\{9C123289-82E1-4DA7-A3C2-B8D28AAD114B}
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.BandooCoordinator.1
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.CoordinatorUI.1
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.HTTPAsyncResult.1
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier
Clé supprimée: HKLM\Software\Classes\BandooCoordinator.PlugInNotifier.1
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl
Clé supprimée: HKLM\Software\Classes\BFlashAnimator.BFlashAnimatorCtrl.1
Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl
Clé supprimée: HKLM\Software\Classes\BGIFAnimator.BGIFAnimatorCtrl.1
Clé supprimée: HKLM\Software\Classes\AppID\BandooCoordinator.EXE
Clé supprimée: HKLM\Software\Classes\AppID\{EDE2C296-2458-4E3B-A846-4B512C0703B5}
Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé supprimée: HKLM\Software\bandoo
Clé supprimée: HKLM\Software\Freeze.com
Clé supprimée: HKLM\Software\Titan Poker
Clé supprimée: HKCU\Software\pacificpoker
Clé supprimée: HKCU\Software\pokerinstaller
Clé supprimée: HKCU\Software\Titan Poker
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Fun4IM
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Pacific Poker
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Bandoo
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pacific Poker
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Titan Poker
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.5.16 (fr)] **

-- C:\Documents and Settings\Philippe\Application Data\Mozilla\FireFox\Profiles\uxhwnvj9.default\Prefs.js --
browser.download.dir, C:\Documents and Settings\Philippe\Mes documents\Mes Telechargements
browser.download.lastDir, C:\Documents and Settings\Philippe\Mes documents\Etudes\Chardeuil
browser.search.defaultenginename, Web Search
browser.search.selectedEngine, Web Search
browser.startup.homepage_override.mstone, rv:1.9.1.16

-- C:\Documents and Settings\Julia\Application Data\Mozilla\FireFox\Profiles\2y5c4m0e.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Julia\Mes documents
browser.startup.homepage_override.mstone, rv:1.9.1.14

========================================

** Internet Explorer Version [6.0.2900.5512] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 10642 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 30/01/2011 (8871 Octet(s)) 

Fin à: 18:13:57, 30/01/2011 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Re

Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+

soft-machine · Answer

ça a été long mais ça y est, le programme a fini de nettoyer et a enlevé 13 malwares. Il a demandé à ce que je redémarre le PC, ce que j'ai fait.

et voici le rapport.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5640

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

30/01/2011 20:43:43
mbam-log-2011-01-30 (20-43-43).txt

Type d'examen: Examen complet (C:\|D:\|H:\|)
Elément(s) analysé(s): 373130
Temps écoulé: 1 heure(s), 41 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{5d057698-5b82-4f92-a0fe-f2dfcfbacab3}\RP1103\A0189928.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5d057698-5b82-4f92-a0fe-f2dfcfbacab3}\RP1104\A0189991.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5d057698-5b82-4f92-a0fe-f2dfcfbacab3}\RP1104\A0189992.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5d057698-5b82-4f92-a0fe-f2dfcfbacab3}\RP1107\A0192375.exe (PUP.Casino) -> Quarantined and deleted successfully.
c:\program files\ad-remover\quarantine\C\Poker	itan poker\_setuppoker_492101_fr.exe.vir (PUP.Casino) -> Quarantined and deleted successfully.
c:\program files\dbpoweramp music converter v.11+ (full codecs-powerpack & crack)\programa - powerpack + cracks\powerpacks + cracks + utilidades\crack 2 powerpack de dbpoweramp music converter v.9\Crack.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\Philippe\application data\dwm.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\documents and settings\Philippe\application data\microsoft\conhost.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\Philippe\mes documents\mes telechargements\mywebfacesetup2.3.67.1.nosa.nohp.grfox000.exe (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\documents and settings\Philippe\mes documents\mes telechargements\pacificpoker.exe (PUP.Casino) -> Quarantined and deleted successfully.
c:\documents and settings\Philippe\mes documents\mes telechargements\setuppoker_492101_fr.exe (PUP.Casino) -> Quarantined and deleted successfully.
d:\programmes installés\BsPlayer\CORE10k.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully.
d:\programmes installés
ero burning rom 6.6.0.8\KeyGen\multikeygen.exe (Backdoor.Sdbot) -> Quarantined and deleted successfully.

je suis encore là 45 minutes puis je repars pour mon service de nuit. Encore merci pour toute ton aide.

Utilisateur anonyme · Answer

Re

Poste moi un nouveau rapport ZHPDiag;merci.

@+

soft-machine · Answer

je ne trouve plus ZHP Diag nulle part .... (!!?) 
Je n'ai sur le bureau que ZHPfix.. Pourtant je n'ai absolument rien supprimé.. Je ne comprends pas..
je le retélécharge......

soft-machine · Answer

je ne l'y trouvais pas.. je l'ai rechargé.. Voici le dernier rapport

http://www.cijoint.fr/cjlink.php?file=cj201101/cij7AdQYxs.txt

soft-machine · Answer

http://www.cijoint.fr/cjlink.php?file=cj201101/cij7AdQYxs.txt

soft-machine · Answer

bonjour.., de retour de ma nuit de travail. Je dois repartir dans 45 minutes et ne serai de retour qu'en fin d'après-midi.
J'ai essayé d'ouvrir mon navigateur pour voir si je tombais toujours sur la page searchqu., mais en fait rien ne s'ouvre. J'ai le message suivant: 

"Connexion refusée par le serveur Proxy. Firefox est configuré pour utiliser un serveur proxy mais celui-ci n'accepte pas les connexions. Vérirfiez que les paramètres proxy sont corrects, ou contactez administrateur pour vous assurer que le serveur Proxy fonctionne".

Il faut que je réinstalle Firefox ? IE fonctionne, mais j'ai l'habitude d'utiliser Firefox.

bonne journée et Merci beaucoup pour l'aide apportée. A ce soir.

Utilisateur anonyme · Answer

Bonsoir

1)Pour ton problème avec Firefox:

Proxy Firefox
 OUTILS >>OPTIONS>> AVANCE, il y a un sous onglet RESEAU puis CONNEXION...à droite tu trouveras PARAMETRES...et dans paramètres, tu coches PAS DE PROXY...tu fais OK, tu fermes Firefox et ensuite tu le relances.




 2)Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
----------------------------------------------------------------------------------------------------

[MD5.4B0876C48C475D1C96307223B04BDF07] - (.Pas de propriétaire - Application Policy Service.) -- C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe   [4644352]
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Titan Poker.lnk . (.Pas de propriétaire.)  -- C:\Poker\Titan Poker\casino.exe (.not file.)
STOP:SR - | Auto 29/01/2011 4644352 |  (Application Policy Service) . (.Pas de propriétaire.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe 
O23 - Service:  (Application Policy Service) . (.Pas de propriétaire - Application Policy Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe 
STOP:SR - | Auto 07/10/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe     


--------------------------------------------------------------------------------------------
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »
. 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent. 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ]

> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées. 

* Enfin clique sur le bouton [ Nettoyer]. 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 



A+

soft-machine · Answer

bonsoir Guillaume, j'ai trouvé un topic pour le réglage de Firefox sur votre forum... Et maintenant j'arrive à l'ouvrir.
Merci beaucoup pour l'aide !

soft-machine · Answer

Rapport de ZHPFix 1.12.3244 par Nicolas Coolman, Update du 27/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-31-01-2011-19-06-17.txt
Run by Philippe at 31/01/2011 19:06:17
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe [4644352]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O23 - Service: (Application Policy Service) . (.Pas de propriétaire - Application Policy Service.) - C:\WINDOWS\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\svchost.exe  => Clé absente

========== Fichier(s) ==========
c:\documents and settings\all users\menu démarrer\programmes	itan poker.lnk  => Supprimé et mis en quarantaine
c:\poker	itan poker\casino.exe  => Fichier absent

========== Etat des services ==========
(Application Policy Service) . (Application Policy Service) de Pas de propriétaire  => Service arrêté avec succès
(Bonjour Service) . (Bonjour Service) de Apple Inc.  => Service arrêté avec succès


========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
2 : Fichier(s)
2 : Etat des services


End of the scan

Utilisateur anonyme · Answer

Re

Ce n'est pas fini;il faut supprimer tous ces outils:

1) Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 

2)Il faut mettre à jour Internet Explorer ;même si tu ne l'utilises pas.

3)Tu peux également mettre à jour Firefox>>>Version actuelle:3.6.13

4)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm



5)Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

soft-machine · Answer

# DelFix v7.1 - Rapport créé le 31/01/2011 à 21:26
# Mis à jour le 16/01/11 à 15h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Philippe - XXXX-371A6BD58C (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Philippe\Local Settings\Temporary Internet Files\Content.IE5\6ZTT8BLK\DelFix[1].exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Documents and Settings\Philippe\Bureau\adeshi.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\ZHPExportRegistry-31-01-2011-19-06-17.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Philippe\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\Philippe\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Philippe\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [2329 octets] ##########

soft-machine · Answer

Guillaume, merci beaucoup pour m'avoir guidé dans toutes ces procédures. J'ignorais absolument tout de tout ça et sans cette aide il aurait fallu que j'apporte mon PC à 15 kms de ma campagne pour que le réparateur du coin puisse me le nettoyer.. Et encore, peut-être pas aussi bien..
Donc merci encore mille fois. Je mets ce forum dans mes favoris; peut-être qu'un jour (mais ce n'est pas demain!) je pourrai à mon tour aider quelqu'un.

Juste une petite chose; j'ai lu ailleurs sur ce forum (mais je ne sais plus où :-(, une procédure pour "vacciner" les disques durs externes. J'en ai plusieurs.
Est-ce conseillé ?

Searchqu

29 réponses

Newsletters