Un petit log ZHPDiag...
christophe jousse
Messages postés
6
Statut
Membre
-
gen-hackman -
gen-hackman -
Bonjour,
après une petite analyse et recherche sur la toile du problème de mon fils
( impossible de se connecter à msn erreur 80048823 ) j'ai apris qu'une petite analyse par les soins de bien meilleur que moi en informatique passait par ce log que j'ai réalisé.
Merci de mettre vos lumières à ma portée afin que je remedie à tout ça, il a effectivement cliqué sur un peu tout sur la toile pour installer bien des jeux ( innocent pour le moment ) et il est temps que j'y mette un peu d'ordre grace à vous.
j'ai toujours aimé mettre les mains dans windows alors c'est parti.
merci encore
christophe
http://www.cijoint.fr/cjlink.php?file=cj201102/cijqdNojZR.txt
après une petite analyse et recherche sur la toile du problème de mon fils
( impossible de se connecter à msn erreur 80048823 ) j'ai apris qu'une petite analyse par les soins de bien meilleur que moi en informatique passait par ce log que j'ai réalisé.
Merci de mettre vos lumières à ma portée afin que je remedie à tout ça, il a effectivement cliqué sur un peu tout sur la toile pour installer bien des jeux ( innocent pour le moment ) et il est temps que j'y mette un peu d'ordre grace à vous.
j'ai toujours aimé mettre les mains dans windows alors c'est parti.
merci encore
christophe
http://www.cijoint.fr/cjlink.php?file=cj201102/cijqdNojZR.txt
11 réponses
-
salut :
à lire en premier :
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/Intro.txt
===================================
▶ Télécharge ici : Ad-remover sur ton bureau :
▶ Déconnecte toi et ferme toutes applications en cours !
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .
▶ Laisse travailler l'outil et ne touche à rien ...
▶ Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
-
et bien merci de te pencher sur ce cas ( d'école j'espère )
voici le résultat demandé :
======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 08/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:16:21 le 08/02/2011, Mode normal
Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
admin@SDJ (Dell Inc. Inspiron 530)
============== ACTION(S) ==============
Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Dossier supprimé: C:\Users\admin\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\admin\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Users\admin\AppData\LocalLow\PriceGong
Dossier supprimé: C:\Users\admin\AppData\Roaming\OfferBox
Dossier supprimé: C:\Users\chris\AppData\Roaming\OfferBox
Dossier supprimé: C:\Users\Invité\AppData\Roaming\OfferBox
Dossier supprimé: C:\Program Files\OfferBox
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{3CB2D7C4-C80C-4950-87FA-58BDBBE21783}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3CB2D7C4-C80C-4950-87FA-58BDBBE21783}
Clé supprimée: HKLM\Software\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}
Clé supprimée: HKLM\Software\Classes\AppID\{E142D053-7023-4B33-AF22-91F14202142D}
Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{115CCBAE-27B0-47C3-BA42-BAB708424393}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{937936AF-28CA-4973-B8AE-F250406149A2}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2423182
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{77F82C4C-5F5C-43E4-AA01-36F0010C4BC5}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Clé supprimée: HKLM\Software\Microsoft\Code Store Database\Distribution Units\CabBuilder
Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
============== SCAN ADDITIONNEL ==============
**** Internet Explorer Version [8.0.6001.18999] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKLM_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files\Softonic_France\tbSoft.dll)
HKLM_URLSearchHooks|{31c322dc-5878-452e-a2d8-c4aab9973c9a} - "interdescargas-FR Toolbar" (C:\Program Files\interdescargas-FR\tbinte.dll)
HKLM_SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847} - "SweetIM Search" (hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms})
HKCU_Toolbar\WebBrowser|{31C322DC-5878-452E-A2D8-C4AAB9973C9A} (C:\Program Files\interdescargas-FR\tbinte.dll)
HKCU_Toolbar\WebBrowser|{4DAAC69C-CBA7-45E2-9BC8-1044483D3352} (C:\Program Files\Softonic_France\tbSoft.dll)
HKCU_Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847} (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll)
HKLM_Toolbar|{4daac69c-cba7-45e2-9bc8-1044483d3352} (C:\Program Files\Softonic_France\tbSoft.dll)
HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll)
HKLM_Toolbar|{31c322dc-5878-452e-a2d8-c4aab9973c9a} (C:\Program Files\interdescargas-FR\tbinte.dll)
HKLM_Toolbar|{EEE6C35B-6118-11DC-9C72-001320C79847} (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll)
HKLM_ElevationPolicy\{074A2810-2D22-493e-8BD5-3CF8FE918E67} - C:\Program Files\McAfee\MSK\MskAgent.exe (McAfee, Inc.)
HKLM_ElevationPolicy\{2220DD27-3176-4356-82F4-FEF8177A3F1E} - C:\Program Files\Softonic_France\Softonic_FranceToolbarHelper.exe (?)
HKLM_ElevationPolicy\{380FD797-6656-4159-A455-6C84102D6ED6} - C:\Program Files\interdescargas-FR\interdescargas-FRToolbarHelper.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{ECEC282B-90B3-4c94-A3EA-70D053103AC3} - %ProgramFiles(x86)%\McAfee\MSK\MskAgent.exe (x)
HKLM_ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelperApp.exe (SweetIM Technologies Ltd.)
HKLM_Extensions\{0000036B-C524-4050-81A0-243669A86B9F} - "@C:\Program Files\Windows Live\Companion\companionlang.dll,-600" (C:\Program Files\Windows Live\Companion\companionres.dll,200)
HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)
BHO\{31c322dc-5878-452e-a2d8-c4aab9973c9a} - "interdescargas-FR Toolbar" (C:\Program Files\interdescargas-FR\tbinte.dll)
BHO\{377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - "McAfee Phishing Filter" (c:\PROGRA~1\mcafee\msk\mcapbho.dll)
BHO\{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files\Softonic_France\tbSoft.dll)
BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll)
BHO\{7DB2D5A0-7241-4E79-B68D-6309F01C5231} - "scriptproxy" (c:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll)
BHO\{9FDDE16B-836F-4806-AB1F-1455CBEFF289} - "Windows Live Messenger Companion Helper" (C:\Program Files\Windows Live\Companion\companioncore.dll)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\Program Files\Dell\BAE\BAE.dll)
BHO\{d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "Bing Bar BHO" (C:\Program Files\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll)
BHO\{EEE6C35C-6118-11DC-9C72-001320C79847} - "SweetIM Toolbar Helper" (C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll)
========================================
C:\Program Files\Ad-Remover\Quarantine: 81 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 08/02/2011 (8765 Octet(s))
Fin à: 19:17:44, 08/02/2011
============== E.O.F ==============
j'attends la suite avec impatience, pour le moment c'est facile ^^ :)
christophe -
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)
▶ Télécharge ici :List_Kill'em
et enregistre le sur ton bureau
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
♦ Executer List_Kill'em
une fois terminée , clic sur "terminer"
choisis l'option Search
▶ laisse travailler l'outil
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan
▶ Poste les rapports qui apparaitront sur ton bureau
▶▶▶ NE LES POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶ Fais de même avec more.txt qui se trouve sur ton bureau -
bonsoir,
ça fait un peu irréel, je suppose qu'il faut quelques années d'études et de recherches pour arriver à comprendre et à apprécier... dommage pour moi
en tous cas merci
et voici les fichiers demandés
list'em : http://www.cijoint.fr/cjlink.php?file=cj201102/cijhgV331o.txt
more.txt : http://www.cijoint.fr/cjlink.php?file=cj201102/cijq4Avbvt.txt
christophe -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
ok desinstalle sweetIM Toolbar , et Softonic_France_Toolbar
==================================
1/....
▶ Relance List&Kill'em(soit en clic droit pour vista / 7),avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'option Tools puis Command Lines
un document texte va s'ouvrir à l'apparition de : Text Please
▶copie/colle le texte en gras ci-dessous :
MBR\MBRFix.exe /Drive 0 fixmbr /Vista /yes
shutdown -r
ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes
Laisse travailler l'outil
Ton Pc va redemarrer s'il ne le fait pas , redemarre-le manuellement
==================================
2/.....
ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!
▶ Relance List&Kill'em,avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'option Tools puis Script
une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer
un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :
PROC:SweetIM.exe
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Reader Speed Launcher"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "SweetIM"
REM:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{31c322dc-5878-452e-a2d8-c4aab9973c9a}"
REM:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}"
REM:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{EEE6C35C-6118-11DC-9C72-001320C79847}"
REM:HKEY_LOCAL_MACHINE\software\Softonic_France
REM:HKEY_LOCAL_MACHINE\software\SweetIM
SIGN:c:\windows\system32\e1e6032.din
▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le
laisse travailler l'outil
▶ poste le resultat
▶ Ferme List_Kill'em
Note : le rapport est sur ton bureau : Script_(4 chiffres).txt
===============================
3/.....
▶ Relance List_Kill'em,avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'Option Clean
▶▶▶ Ne clique qu'une seule fois sur le bouton !!
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
▶ colle le contenu dans ta reponse
▶ envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr -
bien le bonjour,
pour sweetim pas de problèmes, pour softonic il reste affiché dans la page desinstallation ( je l'avais peut etre désactivé sur ie déjà ) voici le message d'erreur lorsque je veux le desinstaller :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijCP5TsYd.jpg
sinon voici le script du deuxième acte :
¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤
User : admin (Administrateurs)
Update on 08/02/2011 by g3n-h@ckm@n ::::: 05.00
Start at: 09:29:33 | 09/02/2011
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18999
Windows Firewall Status : Disabled
C:\ -> Disque fixe local | 586,1 Go (265,5 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 10 Go (4,82 Go free) [RECOVERY] | NTFS
F:\ -> Disque CD-ROM
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque CD-ROM | 638,24 Mo (0 Mo free) [TheFrozenThrone] | CDFS
L:\ -> Disque amovible
¤¤¤¤¤¤¤¤¤¤ Processes :
¤¤¤¤¤¤¤¤¤¤ Added Keys :
¤¤¤¤¤¤¤¤¤¤ Removed Keys :
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Reader Speed Launcher"
Deleted : HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{31c322dc-5878-452e-a2d8-c4aab9973c9a}"
Deleted : HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}"
¤¤¤¤¤¤¤¤¤¤ Ports closed :
¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :
¤¤¤¤¤¤¤¤¤¤ Drivers deleted :
¤¤¤¤¤¤¤¤¤¤ Object Restored :
¤¤¤¤¤¤¤¤¤¤ Folder List :
¤¤¤¤¤¤¤¤¤¤ Read File :
¤¤¤¤¤¤¤¤¤¤ Sign control :
c:\windows\system32\e1e6032.din:
Verified: Signed
Signing date: 00:23 20/04/2007
Publisher: n/a
Description: n/a
Product: n/a
Version: n/a
File version: n/a
¤¤¤¤¤¤¤¤¤¤ Key Look :
End at 9:32:54
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
et voici le zip demandé :
http://www.cijoint.fr/cjlink.php?file=cj201102/cij2aA9VmD.zip
génial
merci
christophe -
re,
1/...
si tu fais ok plus rien ne se passe ?
========================
2/... script vu :
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
* * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :
c:\windows\system32\e1e6032.din
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
==================================
3/.....
il manque Kill'em.txt qui se trouve sur ton bureau je le mets pour toi:
¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.5 ¤¤¤¤¤¤¤¤¤¤
User : admin (Administrateurs)
Update on 08/02/2011 by g3n-h@ckm@n ::::: 05.00
Start at: 09:34:57 | 09/02/2011
Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18999
Windows Firewall Status : Disabled
C:\ -> Disque fixe local | 586,1 Go (265,5 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 10 Go (4,82 Go free) [RECOVERY] | NTFS
F:\ -> Disque CD-ROM
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque amovible
K:\ -> Disque CD-ROM | 638,24 Mo (0 Mo free) [TheFrozenThrone] | CDFS
L:\ -> Disque amovible
Killed : PID 2044 'iexplore.exe'
Killed : PID 1216 'explorer.exe'
¤¤¤¤¤¤¤¤¤¤ Files/folders :
Quarantined & Deleted !! : C:\Users\admin\AppData\Local\GDIPFONTCACHEV1.DAT
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤
127.0.0.1 localhost
¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.msn.com/fr-fr/?ocid=iehp
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = https://www.google.com/?gws_rd=ssl
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval = 1 (0x1)
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)
InternetSettingsDisableNotify = 0 (0x0)
AutoUpdateDisableNotify = 0 (0x0)
UacDisableNotify = 0 (0x0)
AntispywareOverride = 0 (0x0)
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
Ndisuio -> Start = 3
EapHost -> Start = 2
Wlansvc -> Start = 2
SharedAccess -> Start = 2
windefend -> Start = 2
wuauserv -> Start = 2
wscsvc -> Start = 2
¤¤¤¤¤¤¤¤¤¤ Winlogon
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
AutoRestartShell = 1 (0x1)
Shell = explorer.exe
Userinit = C:\Windows\System32\userinit.exe,
System =
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
FEATURE_BROWSER_EMULATION | svchost :
====================================
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: SAMSUNG_HD642JJ rev.1AA01113 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-1
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll sfsync02.sys ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys tcpip.sys NETIO.SYS
C:\Windows\System32\drivers\sfsync02.sys Protection Technology StarForce Protection System
1 ntkrnlpa!IofCallDriver[0x81E45962] -> \Device\Harddisk0\DR0[0x8528FAC8]
3 CLASSPNP[0x8A9B98B3] -> ntkrnlpa!IofCallDriver[0x81E45962] -> [0x850D9918]
5 acpi[0x8069B6BC] -> ntkrnlpa!IofCallDriver[0x81E45962] -> \Device\Ide\IdeDeviceP0T0L0-1[0x850D5B98]
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 1250260992
PE file found in sector at 1250260992 !
PE file found in sector at 1250260992 !
PE file found in sector at 1250260992 !
PE file found in sector at 1250260992 !
End of Scan : 9:36:30
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
=====================================
4/......
relance un recherche avec List_Kill'em et poste les rapports via cijoint.fr -
1/ quand je fais ok il ne se passe effectivement plus rien
2/voici le lien vers le scan virustotal
http://www.virustotal.com/file-scan/report.html?id=12bce6275d0d69b338d5b1404a830c20e26f61eea2aa4a2e947f9813703673a2-1297273384
3/donc je ne te remets pas Kill'em.txt
4/nouveau scan list kill'em
avec fichier list'em :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijYgUaErG.txt
et fichier more :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijaQNPKOT.txt
merci encore de ton aide
christophe -
-
pas de soucis restant
merci de ton aide super rapide et efficace
un grand bravo à ce site d'entraide
christophe -
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant tous les utilisateurs
▶ règle age du fichier sur "60 jours"
▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"
ne modifie pas ceci :
"fichiers créés" et "fichiers Modifiés"
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.