Un petit log ZHPDiag...

christophe jousse Messages postés 6 Statut Membre -  
 gen-hackman -
Bonjour,
après une petite analyse et recherche sur la toile du problème de mon fils
( impossible de se connecter à msn erreur 80048823 ) j'ai apris qu'une petite analyse par les soins de bien meilleur que moi en informatique passait par ce log que j'ai réalisé.

Merci de mettre vos lumières à ma portée afin que je remedie à tout ça, il a effectivement cliqué sur un peu tout sur la toile pour installer bien des jeux ( innocent pour le moment ) et il est temps que j'y mette un peu d'ordre grace à vous.

j'ai toujours aimé mettre les mains dans windows alors c'est parti.

merci encore
christophe
http://www.cijoint.fr/cjlink.php?file=cj201102/cijqdNojZR.txt

11 réponses

  1. gen-hackman
     
    salut :

    à lire en premier :

    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/Intro.txt

    ===================================

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    1
  2. christophe jousse Messages postés 6 Statut Membre
     
    et bien merci de te pencher sur ce cas ( d'école j'espère )
    voici le résultat demandé :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 08/02/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:16:21 le 08/02/2011, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    admin@SDJ (Dell Inc. Inspiron 530)

    ============== ACTION(S) ==============

    Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
    Dossier supprimé: C:\Users\admin\AppData\LocalLow\Conduit
    Dossier supprimé: C:\Program Files\Conduit
    Dossier supprimé: C:\Users\admin\AppData\LocalLow\ConduitEngine
    Dossier supprimé: C:\Program Files\ConduitEngine
    Dossier supprimé: C:\Users\admin\AppData\LocalLow\PriceGong
    Dossier supprimé: C:\Users\admin\AppData\Roaming\OfferBox
    Dossier supprimé: C:\Users\chris\AppData\Roaming\OfferBox
    Dossier supprimé: C:\Users\Invité\AppData\Roaming\OfferBox
    Dossier supprimé: C:\Program Files\OfferBox

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
    Clé supprimée: HKLM\Software\Classes\CLSID\{3CB2D7C4-C80C-4950-87FA-58BDBBE21783}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3CB2D7C4-C80C-4950-87FA-58BDBBE21783}
    Clé supprimée: HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
    Clé supprimée: HKLM\Software\Classes\AppID\{E142D053-7023-4B33-AF22-91F14202142D}
    Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
    Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
    Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
    Clé supprimée: HKLM\Software\Classes\Conduit.Engine
    Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
    Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2423182
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
    Clé supprimée: HKLM\Software\OfferBox
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKLM\Software\conduitEngine
    Clé supprimée: HKCU\Software\OfferBox
    Clé supprimée: HKCU\Software\AppDataLow\Toolbar
    Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
    Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{77F82C4C-5F5C-43E4-AA01-36F0010C4BC5}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
    Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
    Clé supprimée: HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder

    Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}

    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [8.0.6001.18999] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files\Softonic_France\tbSoft.dll)
    HKLM_URLSearchHooks|{31c322dc-5878-452e-a2d8-c4aab9973c9a} - "interdescargas-FR Toolbar" (C:\Program Files\interdescargas-FR\tbinte.dll)
    HKLM_SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847} - "SweetIM Search" (hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms})
    HKCU_Toolbar\WebBrowser|{31C322DC-5878-452E-A2D8-C4AAB9973C9A} (C:\Program Files\interdescargas-FR\tbinte.dll)
    HKCU_Toolbar\WebBrowser|{4DAAC69C-CBA7-45E2-9BC8-1044483D3352} (C:\Program Files\Softonic_France\tbSoft.dll)
    HKCU_Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847} (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll)
    HKLM_Toolbar|{4daac69c-cba7-45e2-9bc8-1044483d3352} (C:\Program Files\Softonic_France\tbSoft.dll)
    HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll)
    HKLM_Toolbar|{31c322dc-5878-452e-a2d8-c4aab9973c9a} (C:\Program Files\interdescargas-FR\tbinte.dll)
    HKLM_Toolbar|{EEE6C35B-6118-11DC-9C72-001320C79847} (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll)
    HKLM_ElevationPolicy\{074A2810-2D22-493e-8BD5-3CF8FE918E67} - C:\Program Files\McAfee\MSK\MskAgent.exe (McAfee, Inc.)
    HKLM_ElevationPolicy\{2220DD27-3176-4356-82F4-FEF8177A3F1E} - C:\Program Files\Softonic_France\Softonic_FranceToolbarHelper.exe (?)
    HKLM_ElevationPolicy\{380FD797-6656-4159-A455-6C84102D6ED6} - C:\Program Files\interdescargas-FR\interdescargas-FRToolbarHelper.exe (?)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{ECEC282B-90B3-4c94-A3EA-70D053103AC3} - %ProgramFiles(x86)%\McAfee\MSK\MskAgent.exe (x)
    HKLM_ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe (SweetIM Technologies Ltd.)
    HKLM_Extensions\{0000036B-C524-4050-81A0-243669A86B9F} - "@C:\Program Files\Windows Live\Companion\companionlang.dll,-600" (C:\Program Files\Windows Live\Companion\companionres.dll,200)
    HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)
    BHO\{31c322dc-5878-452e-a2d8-c4aab9973c9a} - "interdescargas-FR Toolbar" (C:\Program Files\interdescargas-FR\tbinte.dll)
    BHO\{377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - "McAfee Phishing Filter" (c:\PROGRA~1\mcafee\msk\mcapbho.dll)
    BHO\{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files\Softonic_France\tbSoft.dll)
    BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
    BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll)
    BHO\{7DB2D5A0-7241-4E79-B68D-6309F01C5231} - "scriptproxy" (c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll)
    BHO\{9FDDE16B-836F-4806-AB1F-1455CBEFF289} - "Windows Live Messenger Companion Helper" (C:\Program Files\Windows Live\Companion\companioncore.dll)
    BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\Program Files\Dell\BAE\BAE.dll)
    BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar BHO" (C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll)
    BHO\{EEE6C35C-6118-11DC-9C72-001320C79847} - "SweetIM Toolbar Helper" (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 81 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 08/02/2011 (8765 Octet(s))

    Fin à: 19:17:44, 08/02/2011

    ============== E.O.F ==============

    j'attends la suite avec impatience, pour le moment c'est facile ^^ :)

    christophe
    0
  3. gen-hackman
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ▶ Télécharge ici :List_Kill'em

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer"

    choisis l'option Search

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

    ▶ Poste les rapports qui apparaitront sur ton bureau

    ▶▶▶ NE LES POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau
    0
  4. christophe jousse Messages postés 6 Statut Membre
     
    bonsoir,
    ça fait un peu irréel, je suppose qu'il faut quelques années d'études et de recherches pour arriver à comprendre et à apprécier... dommage pour moi

    en tous cas merci

    et voici les fichiers demandés

    list'em : http://www.cijoint.fr/cjlink.php?file=cj201102/cijhgV331o.txt

    more.txt : http://www.cijoint.fr/cjlink.php?file=cj201102/cijq4Avbvt.txt

    christophe
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    ok desinstalle sweetIM Toolbar , et Softonic_France_Toolbar

    ==================================

    1/....

    ▶ Relance List&Kill'em(soit en clic droit pour vista / 7),avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Tools puis Command Lines

    un document texte va s'ouvrir à l'apparition de : Text Please

    ▶copie/colle le texte en gras ci-dessous :

    MBR\MBRFix.exe /Drive 0 fixmbr /Vista /yes
    shutdown -r


    ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

    Laisse travailler l'outil

    Ton Pc va redemarrer s'il ne le fait pas , redemarre-le manuellement

    ==================================

    2/.....

    ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

    ▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Tools puis Script

    une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

    un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


    PROC:SweetIM.exe
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Reader Speed Launcher"
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SweetIM"
    REM:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{31c322dc-5878-452e-a2d8-c4aab9973c9a}"
    REM:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}"
    REM:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{EEE6C35C-6118-11DC-9C72-001320C79847}"
    REM:HKEY_LOCAL_MACHINE\software\Softonic_France
    REM:HKEY_LOCAL_MACHINE\software\SweetIM
    SIGN:c:\windows\system32\e1e6032.din


    ▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

    laisse travailler l'outil

    poste le resultat

    ▶ Ferme List_Kill'em

    Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

    ===============================

    3/.....

    ▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'Option Clean

    ▶▶▶ Ne clique qu'une seule fois sur le bouton !!

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse

    ▶ envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr
    0
  7. christophe jousse Messages postés 6 Statut Membre
     
    bien le bonjour,

    pour sweetim pas de problèmes, pour softonic il reste affiché dans la page desinstallation ( je l'avais peut etre désactivé sur ie déjà ) voici le message d'erreur lorsque je veux le desinstaller :


    http://www.cijoint.fr/cjlink.php?file=cj201102/cijCP5TsYd.jpg

    sinon voici le script du deuxième acte :

    ¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

    User : admin (Administrateurs)
    Update on 08/02/2011 by g3n-h@ckm@n ::::: 05.00
    Start at: 09:29:33 | 09/02/2011

    Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18999
    Windows Firewall Status : Disabled

    C:\ -> Disque fixe local | 586,1 Go (265,5 Go free) [OS] | NTFS
    D:\ -> Disque fixe local | 10 Go (4,82 Go free) [RECOVERY] | NTFS
    F:\ -> Disque CD-ROM
    H:\ -> Disque amovible
    I:\ -> Disque amovible
    J:\ -> Disque amovible
    K:\ -> Disque CD-ROM | 638,24 Mo (0 Mo free) [TheFrozenThrone] | CDFS
    L:\ -> Disque amovible

    ¤¤¤¤¤¤¤¤¤¤ Processes :

    ¤¤¤¤¤¤¤¤¤¤ Added Keys :

    ¤¤¤¤¤¤¤¤¤¤ Removed Keys :

    Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Reader Speed Launcher"
    Deleted : HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{31c322dc-5878-452e-a2d8-c4aab9973c9a}"
    Deleted : HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}"

    ¤¤¤¤¤¤¤¤¤¤ Ports closed :

    ¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :

    ¤¤¤¤¤¤¤¤¤¤ Drivers deleted :

    ¤¤¤¤¤¤¤¤¤¤ Object Restored :

    ¤¤¤¤¤¤¤¤¤¤ Folder List :

    ¤¤¤¤¤¤¤¤¤¤ Read File :

    ¤¤¤¤¤¤¤¤¤¤ Sign control :

    c:\windows\system32\e1e6032.din:
    Verified: Signed
    Signing date: 00:23 20/04/2007
    Publisher: n/a
    Description: n/a
    Product: n/a
    Version: n/a
    File version: n/a

    ¤¤¤¤¤¤¤¤¤¤ Key Look :

    End at 9:32:54

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

    et voici le zip demandé :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cij2aA9VmD.zip


    génial
    merci

    christophe
    0
  8. gen-hackman
     
    re,

    1/...

    si tu fais ok plus rien ne se passe ?

    ========================

    2/... script vu :

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    * * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

    c:\windows\system32\e1e6032.din


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    ==================================

    3/.....

    il manque Kill'em.txt qui se trouve sur ton bureau je le mets pour toi:

    ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.5 ¤¤¤¤¤¤¤¤¤¤

    User : admin (Administrateurs)
    Update on 08/02/2011 by g3n-h@ckm@n ::::: 05.00
    Start at: 09:34:57 | 09/02/2011

    Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
    Internet Explorer 8.0.6001.18999
    Windows Firewall Status : Disabled

    C:\ -> Disque fixe local | 586,1 Go (265,5 Go free) [OS] | NTFS
    D:\ -> Disque fixe local | 10 Go (4,82 Go free) [RECOVERY] | NTFS
    F:\ -> Disque CD-ROM
    H:\ -> Disque amovible
    I:\ -> Disque amovible
    J:\ -> Disque amovible
    K:\ -> Disque CD-ROM | 638,24 Mo (0 Mo free) [TheFrozenThrone] | CDFS
    L:\ -> Disque amovible

    Killed : PID 2044 'iexplore.exe'
    Killed : PID 1216 'explorer.exe'

    ¤¤¤¤¤¤¤¤¤¤ Files/folders :

    Quarantined & Deleted !! : C:\Users\admin\AppData\Local\GDIPFONTCACHEV1.DAT

    ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

    127.0.0.1 localhost

    ¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    Local Page = C:\WINDOWS\system32\blank.htm
    Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
    Start Page = https://www.google.com/?gws_rd=ssl
    Local Page = C:\WINDOWS\system32\blank.htm
    Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    ¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
    cval = 1 (0x1)
    FirstRunDisabled = 1 (0x1)
    AntiVirusDisableNotify = 0 (0x0)
    FirewallDisableNotify = 0 (0x0)
    UpdatesDisableNotify = 0 (0x0)
    AntiVirusOverride = 0 (0x0)
    FirewallOverride = 0 (0x0)
    InternetSettingsDisableNotify = 0 (0x0)
    AutoUpdateDisableNotify = 0 (0x0)
    UacDisableNotify = 0 (0x0)
    AntispywareOverride = 0 (0x0)

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    Ndisuio -> Start = 3
    EapHost -> Start = 2
    Wlansvc -> Start = 2
    SharedAccess -> Start = 2
    windefend -> Start = 2
    wuauserv -> Start = 2
    wscsvc -> Start = 2

    ¤¤¤¤¤¤¤¤¤¤ Winlogon

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    AutoRestartShell = 1 (0x1)
    Shell = explorer.exe
    Userinit = C:\Windows\System32\userinit.exe,
    System =

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    Disk Cleaned
    Prefetch cleaned
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    FEATURE_BROWSER_EMULATION | svchost :
    ====================================

    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
    Windows 6.0.6002 Disk: SAMSUNG_HD642JJ rev.1AA01113 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-1

    device: opened successfully
    user: MBR read successfully

    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll sfsync02.sys ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys tcpip.sys NETIO.SYS
    C:\Windows\System32\drivers\sfsync02.sys Protection Technology StarForce Protection System
    1 ntkrnlpa!IofCallDriver[0x81E45962] -> \Device\Harddisk0\DR0[0x8528FAC8]
    3 CLASSPNP[0x8A9B98B3] -> ntkrnlpa!IofCallDriver[0x81E45962] -> [0x850D9918]
    5 acpi[0x8069B6BC] -> ntkrnlpa!IofCallDriver[0x81E45962] -> \Device\Ide\IdeDeviceP0T0L0-1[0x850D5B98]
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 1250260992
    PE file found in sector at 1250260992 !
    PE file found in sector at 1250260992 !
    PE file found in sector at 1250260992 !
    PE file found in sector at 1250260992 !

    End of Scan : 9:36:30

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    =====================================

    4/......

    relance un recherche avec List_Kill'em et poste les rapports via cijoint.fr
    0
  9. christophe jousse Messages postés 6 Statut Membre
     
    1/ quand je fais ok il ne se passe effectivement plus rien

    2/voici le lien vers le scan virustotal


    http://www.virustotal.com/file-scan/report.html?id=12bce6275d0d69b338d5b1404a830c20e26f61eea2aa4a2e947f9813703673a2-1297273384

    3/donc je ne te remets pas Kill'em.txt

    4/nouveau scan list kill'em
    avec fichier list'em :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijYgUaErG.txt

    et fichier more :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijaQNPKOT.txt


    merci encore de ton aide

    christophe
    0
  10. gen-hackman
     
    tu me fais un topo des soucis restants ?
    0
  11. christophe jousse Messages postés 6 Statut Membre
     
    pas de soucis restant

    merci de ton aide super rapide et efficace

    un grand bravo à ce site d'entraide

    christophe
    0
  12. gen-hackman
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant tous les utilisateurs

    ▶ règle age du fichier sur "60 jours"

    ▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"


    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0