Pc infesté system tool

Résolu
alsss -  
 Utilisateur anonyme -
Bonjour,



Bonjour, sur le pc de ma copine il y'a system tool qui s'est installé, iol empeche le lancement de toutes les applications, et me propose de payer pour m'en débarasser.
Quelqu'un peut m'aider?
Merci davance

35 réponses

  • 1
  • 2
Résumé de la discussion

Problème central : un logiciel malveillant nommé System Tool s'est installé sur un PC Windows XP, bloquant le lancement de toutes les applications et demandant de payer pour s'en débarrasser. Plusieurs recommandations consistent à passer par des outils de nettoyage comme ZHPDiag et ZHPFix pour identifier les éléments résidents, puis DelFix ou USBFix pour supprimer les traces dans le registre et les fichiers. D'autres interventions mentionnent GMER pour détecter les rootkits et RogueKiller pour neutraliser les protections résidentes et générer des rapports exploitables, complétés par Malwarebytes Anti-Malware lorsque nécessaire. En cas d'échec des scans classiques, des observations indiquent l'importance d'exécuter les outils en mode administrateur et de privilégier des rapports détaillés pour guider les prochaines étapes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour

    * Télécharge sur le bureau RogueKiller (par tigzy)

    * Sous Vista/Seven,clique droit, lancer en tant qu'administrateur
    * Quitte tous tes programmes en cours
    * Lance le.
    * Lorsque demandé, tape 1 et valide
    * Si le programme demande pour supprimer le proxy, tapez 1 si vous êtes sûr que ce n'est pas vous qui l'avez mis
    * Lorsque demandé, tape 2 et valide
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
    ========================================================
    * Télécharge et installe : Malwarebyte's Anti-Malware
    * (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    * Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats
    * Coche tous les éléments détectés puis clique sur Supprimer la sélection
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer, clique sur Yes
    * Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
    * Si tu as besoin d'aide regarde ce tutorial
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    0
  2. alsss
     
    Merci pour la réponse rapide, par contre je n'arrive pas à lancer les programmes que tu m'as demandé de telecharger.
    Ca marcherais en mode sans échec?
    0
  3. alsss
     
    en fait j'ai réussi à lancer rogue killer, voici le rapport

    RogueKiller V3.10.0 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback:

    https://www.luanagames.com/index.fr.html

    KillerD-Remontees.html

    Operating System: Windows XP (5.1.2600 Service Pack 2)

    32 bits version
    Started in : Normal mode
    User: Admin [Admin rights]
    Mode: Scan -- Time : 16/02/2011 10:09:51

    Bad processes:
    Killed c:\documents and settings\all users\application

    data\eicecjk06504\eicecjk06504.exe

    Found:
    HKLM\...\RUN\ SW20 :

    C:\WINDOWS\system32\sw20.exe
    HKLM\...\RUN\ SW24 :

    C:\WINDOWS\system32\sw24.exe
    HKCU\...\RUNONCE\ eIcEcJk06504 : C:\Documents and

    Settings\All Users\Application

    Data\eIcEcJk06504\eIcEcJk06504.exe

    HOSTS File:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100sexlinks.com
    [...]

    Finished
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. alsss
     
    RogueKiller V3.10.0 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Started in : Normal mode
    User: Admin [Admin rights]
    Mode: Remove -- Time : 16/02/2011 10:25:10

    Bad processes:

    Deregistred:

    HOSTS File:
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 100sexlinks.com
    [...]

    Finished
    0
  6. alsss
     
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5772

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    16/02/2011 11:15:58
    mbam-log-2011-02-16 (11-15-58).txt

    Type d'examen: Examen complet (C:\|E:\|)
    Elément(s) analysé(s): 353652
    Temps écoulé: 56 minute(s), 46 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\Admin\local settings\Temp\jar_cache5091779005445429467.tmp (Rogue.Palladium) -> Quarantined and deleted successfully.
    c:\documents and settings\all users\application data\eicecjk06504\eicecjk06504.exe (Rogue.Palladium) -> Quarantined and deleted successfully.
    c:\documents and settings\Admin\local settings\application data\sywek_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
    c:\documents and settings\Admin\local settings\application data\sywek_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
    0
  7. Utilisateur anonyme
     
    Tres bien on avance.

    On va faire une analyse de ton systéme.
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou le lien FTP en secours :
    ftp://zebulon.fr/ZHPDiag2.exe

    * Télécharge ZHPDiag ( de Nicolas coolman ).
    ou
    ZHPDiag

    ***********************
    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  8. alsss
     
    voila c'est fait, merci beaucoup de ton aide.

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijjqZMuzY.txt
    0
  9. Utilisateur anonyme
     
    Eh bin tu es sacrement infecté.On est ensemble pour un petit moment :)

    Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

    http://www.teamxscript.org/usbfixTelechargement.html

    \ !/Désactive provisoirement la protection en temps réel de ton Antivirus et de tes Antispywares.\ !/
    * Double-clique sur l'icône Usbfix située sur ton Bureau.
    * Clique sur le bouton.
    * Suppression
    * Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
    * Cliques sur OK
    * Laisses Usbfix scanner ton système
    * Postes le rapport qui se trouve ici ===========?C:\ UsbFix.txt

    \ !/Apres l'option suppression il est recommander de redémarrer votre pc .Pensez a réactiver vos protections . (Antivirus et Antispywares.)\ !/
    0
  10. alsss
     
    j'ai branché mon disque dur externe, c'est le seul dont je me sers, à chaque fois que je le connecté au pc antivir me prevenait d'une menace.
    Merci du temps passé pour moi.
    voila le rapport

    ############################## | UsbFix 7.039 | [Suppression]

    Utilisateur: Admin (Administrateur) # XPSP2-89592AECE [ ]
    Mis à jour le 09/02/2011 par El Desaparecido / C_XX
    Lancé à 13:32:05 | 16/02/2011
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180

    Pare-feu Windows: Activé
    Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | Updated]
    RAM -> 2047 Mo
    C:\ (%systemdrive%) -> Disque fixe # 98 Go (6 Go libre(s) - 6%) [] # NTFS
    D:\ -> CD-ROM
    E:\ -> Disque fixe # 200 Go (18 Go libre(s) - 9%) [] # NTFS
    F:\ -> CD-ROM
    G:\ -> Disque fixe # 932 Go (883 Go libre(s) - 95%) [PEEKBOX] # NTFS
    H:\ -> CD-ROM

    ################## | Éléments infectieux |

    Supprimé! C:\Documents and Settings\Admin\RavMonLog
    Supprimé! C:\Recycler\S-1-5-21-1960408961-839522115-1583442344-1003
    Supprimé! E:\Recycler\S-1-5-21-1960408961-839522115-1583442344-1003
    Non supprimé ! F:\Autorun.inf
    Non supprimé ! F:\autorun.exe

    ################## | Registre |

    Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoSMHelp

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{08c74192-2e6e-11de-b08e-001bfcdc7adb}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0f0caa78-6155-11dc-ace9-806d6172696f}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{66686f61-b15c-11dc-ad79-001bfcdc7adb}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{786d5cae-d505-11dd-afce-001bfcdc7adb}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7c5af1c6-8d55-11dc-ad47-001bfcdc7adb}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7e2e7f28-2719-11dd-ae2d-001bfcdc7adb}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{98aa62e4-b9ee-11df-b303-001bfcdc7adb}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{bcfa7509-6793-11dc-acfd-001bfcdc7adb}

    ################## | Listing |

    [29/08/2009 - 14:22:14 | N | 1024] C:\.rnd
    [15/12/2010 - 17:49:47 | N | 2006] C:\aqua_bitmap.cpp
    [12/09/2007 - 22:26:53 | N | 0] C:\autoexec.000
    [06/03/2010 - 11:56:22 | N | 44] C:\autoexec.bat
    [16/02/2011 - 08:56:31 | N | 53] C:\biosinfo
    [19/09/2007 - 14:35:06 | N | 212] C:\boot.ini
    [02/10/2001 - 19:15:54 | N | 4952] C:\Bootfont.bin
    [12/02/2011 - 08:39:34 | D ] C:\Config.Msi
    [12/09/2007 - 22:26:53 | N | 0] C:\CONFIG.SYS
    [29/08/2009 - 14:33:05 | D ] C:\Documents and Settings
    [12/12/2010 - 21:27:47 | N | 339968] C:\feuille_pronos_j_17_ALS.xls
    [19/12/2010 - 23:05:24 | N | 339968] C:\feuille_pronos_j_18_ALS.xls
    [22/12/2010 - 23:24:04 | N | 337408] C:\feuille_pronos_j_19_ALS.xls
    [17/01/2011 - 15:53:50 | N | 339968] C:\feuille_pronos_j_20_ALS.xls
    [18/01/2011 - 10:06:16 | N | 366592] C:\feuille_pronos_j_21_BASE.xls
    [12/09/2007 - 22:42:55 | D ] C:\Intel
    [12/09/2007 - 22:26:53 | N | 0] C:\IO.SYS
    [12/09/2007 - 22:26:53 | N | 0] C:\MSDOS.SYS
    [11/09/2009 - 12:35:18 | RHD ] C:\MSOCache
    [03/08/2004 - 23:38:34 | N | 47564] C:\NTDETECT.COM
    [03/08/2004 - 23:59:44 | N | 251712] C:\ntldr
    [07/07/2009 - 15:37:10 | D ] C:\NVIDIA
    [16/02/2011 - 11:18:02 | ASH | 805306368] C:\pagefile.sys
    [16/02/2011 - 12:41:45 | D ] C:\Program Files
    [16/02/2011 - 13:35:07 | SHD ] C:\RECYCLER
    [14/09/2007 - 15:57:32 | SHD ] C:\System Volume Information
    [16/02/2011 - 13:35:07 | D ] C:\UsbFix
    [16/02/2011 - 13:35:08 | A | 1192] C:\UsbFix.txt
    [16/02/2011 - 11:45:03 | D ] C:\WINDOWS
    [18/12/2009 - 12:17:25 | N | 24576] E:\CV alan Thibaut.doc
    [19/04/2010 - 15:10:30 | D ] E:\desprout
    [02/12/2010 - 12:25:42 | D ] E:\desproute
    [12/11/2009 - 20:58:06 | D ] E:\dexter
    [31/03/2010 - 13:22:09 | D ] E:\Diablo II Complet avec Extension FR
    [08/03/2010 - 12:35:50 | D ] E:\ea48631d45b04116207116
    [02/12/2010 - 12:10:09 | D ] E:\earl
    [17/01/2011 - 16:39:12 | D ] E:\film
    [17/03/2010 - 13:20:32 | D ] E:\jeux
    [29/07/2008 - 12:52:25 | D ] E:\logiciel
    [29/03/2010 - 15:31:00 | D ] E:\Ma musique
    [02/03/2010 - 18:04:04 | D ] E:\MARION
    [16/03/2010 - 13:47:06 | D ] E:\MathsCollege
    [22/11/2009 - 23:55:34 | D ] E:\msdownld.tmp
    [02/12/2010 - 11:13:25 | D ] E:\muisic
    [27/08/2010 - 15:38:44 | D ] E:\my name is earl
    [23/11/2009 - 16:36:49 | D ] E:\photo
    [16/02/2011 - 13:35:07 | SHD ] E:\RECYCLER
    [21/08/2010 - 12:12:53 | D ] E:\shameless
    [13/12/2010 - 13:09:40 | D ] E:\simpson
    [09/11/2009 - 12:28:05 | D ] E:\simpson s20
    [01/05/2009 - 15:54:53 | D ] E:\skins
    [12/09/2007 - 19:29:14 | SHD ] E:\System Volume Information
    [09/03/2010 - 22:47:30 | D ] E:\tofs
    [02/12/2010 - 12:17:52 | D ] E:\weeds
    [27/04/2007 - 12:06:14 | R | 332744] F:\_Setup.dll
    [18/11/2009 - 15:30:26 | R | 554312] F:\autorun.exe
    [27/10/2009 - 18:58:33 | R | 16958] F:\Autorun.ico
    [27/10/2009 - 14:59:30 | R | 69] F:\Autorun.inf
    [02/12/2009 - 13:22:37 | R | 1213900] F:\data1.cab
    [02/12/2009 - 13:22:37 | R | 20907] F:\data1.hdr
    [02/12/2009 - 13:26:23 | R | 3297082216] F:\data2.cab
    [02/12/2009 - 13:44:15 | RD ] F:\DirectX
    [02/12/2009 - 13:44:15 | RD ] F:\GFWL
    [02/12/2009 - 13:22:36 | R | 541056] F:\ISSetup.dll
    [02/12/2009 - 13:26:23 | R | 533] F:\layout.bin
    [02/12/2009 - 13:44:19 | RD ] F:\Readme
    [29/10/2009 - 16:19:21 | R | 468056] F:\Setup.bmp
    [02/12/2009 - 13:22:34 | R | 378240] F:\setup.exe
    [02/12/2009 - 13:22:32 | R | 532] F:\setup.ini
    [02/12/2009 - 13:22:28 | R | 254863] F:\setup.inx

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    F:\Autorun.inf -> Dossier créé par Panda USB Vaccine
    0
  11. alsss
     
    C'est normal que je ne puisse pas fermé UsbFix?
    0
  12. Utilisateur anonyme
     
    C'est normal que je ne puisse pas fermé UsbFix?
    Non .Pour le fermer fais ===>ctrl+alt+suppr
    Ouvres ton gestionnaires des taches et clic sur l'onglet application.
    Cilc sous taches sur usbfix et enfin sur fin de taches.

    On continue la desinfection

    Télécharge Ad-Remover sur ton bureau:

    http://www.teamxscript.org/adremoverTelechargement.html

    /!\ Ferme toutes tes applications ouvertes. /!\

    * Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.

    Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur
    "Nettoyer".
    Laisse travailler l'outil.
    Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
    Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt
    0
  13. alsss
     
    Je voulais savoir si je pouvais débranché mon disk dur, j'avais envie de regarder un film.

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 16/02/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:50:52 le 16/02/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 2 (X86)
    Admin@XPSP2-89592AECE ( )

    ============== ACTION(S) ==============

    Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
    Dossier supprimé: C:\Documents and Settings\Admin\Application Data\Mozilla\FireFox\Profiles\m5j8ztdv.default\conduit
    Dossier supprimé: C:\Documents and Settings\Admin\Application Data\Mozilla\FireFox\Profiles\m5j8ztdv.default\extensions\vshare@toolbar
    Dossier supprimé: C:\Program Files\Ask.com
    Dossier supprimé: C:\Documents and Settings\Admin\Local Settings\Application Data\AskToolbar
    Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
    Dossier supprimé: C:\Program Files\Everest Poker
    Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Viewpoint
    Dossier supprimé: C:\Program Files\Viewpoint
    Fichier supprimé: C:\Documents and Settings\All Users\Bureau\Everest Poker.lnk

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Documents and Settings\Admin\Application Data\Mozilla\FireFox\Profiles\m5j8ztdv.default\Prefs.js --
    Ligne supprimée: user_pref("CT1060933.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT106...
    Ligne supprimée: user_pref("CommunityToolbar.MyGadgetsIntervalMM", 1440);
    Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...
    Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "CT1060933");
    Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "CT1060933");
    Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoInterval", 60);
    Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sat May 16 2009 21:02:39 GMT+0200");
    Ligne supprimée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
    Ligne supprimée: user_pref("CommunityToolbar.alert.locale", "en");
    Ligne supprimée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
    Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Sat May 16 2009 21:02:39 GMT+0200");
    Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1234796400");
    Ligne supprimée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
    Ligne supprimée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
    Ligne supprimée: user_pref("CommunityToolbar.alert.showTrayIcon", false);
    Ligne supprimée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
    Ligne supprimée: user_pref("CommunityToolbar.alert.userId", "{3f5d42a0-c405-49bb-afb9-f89d34d7527c}");
    Ligne supprimée: user_pref("extensions.asktb.cbid", "NV");
    Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}...
    Ligne supprimée: user_pref("extensions.asktb.dtid", "YYYYYYYYUS");
    Ligne supprimée: user_pref("extensions.asktb.fresh-install", false);
    Ligne supprimée: user_pref("extensions.asktb.l", "dis");
    Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1281809400175");
    Ligne supprimée: user_pref("extensions.asktb.locale", "fr_US");
    Ligne supprimée: user_pref("extensions.asktb.o", "15666");
    Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
    Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");
    Ligne supprimée: user_pref("extensions.asktb.r", "2");
    Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true);
    Ligne supprimée: user_pref("extensions.enabledItems", "{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3,{CAFEEFAC-0016-00...
    Ligne supprimée: user_pref("vshare.install.date", "1284508800000");
    Ligne supprimée: user_pref("vshare.install.finished", "1.0.0");
    Ligne supprimée: user_pref("vshare.install.guid", "{3033a47b-7a5c-4dad-abfb-6fa7444daf6d}");
    Ligne supprimée: user_pref("vshare.install.isHidden", true);
    Ligne supprimée: user_pref("vshare.install.laststatreq", "1297814400000");
    Ligne supprimée: user_pref("vshare.install.newtab", false);
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
    Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
    Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKLM\Software\MetaStream
    Clé supprimée: HKLM\Software\Viewpoint
    Clé supprimée: HKCU\Software\Ask.com
    Clé supprimée: HKCU\Software\AskToolbar
    Clé supprimée: HKCU\Software\Conduit
    Clé supprimée: HKCU\Software\Grand Virtual
    Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
    Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.13 (fr)] ****

    Plugins\npdnu.dll (AOL LLC)
    Plugins\npdnupdater2.dll (AOL LLC)
    HKLM_MozillaPlugins\@viewpoint.com/VMP (x)
    HKCU_MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0 (x)
    HKCU_MozillaPlugins\electronicarts.com/GameFacePlugin (x)
    Searchplugins\conduit.xml (hxxp://search.conduit.com/ResultsExt.aspx)
    Searchplugins\MediaDICO-fr.xml (hxxp://www.dictionnaire-mediadico.com/dictionnaires.asp)

    -- C:\Documents and Settings\Admin\Application Data\Mozilla\FireFox\Profiles\m5j8ztdv.default --
    Extensions\LogMeInClient@logmein.com (LogMeIn, Inc. Remote Access Plugin)
    Extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} (Freecorder Toolbar)
    Searchplugins\aol-search.xml (?)
    User.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=
    Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Admin\\Mes documents\\Téléchargements
    Prefs.js - browser.search.defaultenginename, AOL Search
    Prefs.js - browser.search.defaulturl, hxxp://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-aolTB50CL-chro...
    Prefs.js - browser.search.selectedEngine, Google
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13
    Prefs.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=
    Prefs.js - privacy.popups.showBrowserMessage, false

    ========================================

    **** Internet Explorer Version [6.0.2900.2180] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_URLSearchHooks|{f0e98552-8e47-4c6c-9b3a-11ab0549f94d} - "AOL Toolbar Search Class" (C:\Program Files\AOL Toolbar\aoltb.dll)
    HKLM_URLSearchHooks|{f0e98552-8e47-4c6c-9b3a-11ab0549f94d} - "AOL Toolbar Search Class" (C:\Program Files\AOL Toolbar\aoltb.dll)
    HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
    HKCU_Toolbar\WebBrowser|{BA00B7B1-0351-477A-B948-23E3EE5A73D4} (C:\Program Files\AOL Toolbar\aoltb.dll)
    HKLM_Toolbar|{327C2873-E90D-4c37-AA9D-10AC9BABA46C} (C:\Program Files\Canon\Easy-WebPrint\Toolband.dll)
    HKLM_Toolbar|{ba00b7b1-0351-477a-b948-23e3ee5a73d4} (C:\Program Files\AOL Toolbar\aoltb.dll)
    HKCU_ElevationPolicy\{1A84286C-B9A7-4CB6-AB1A-A81E9E0B05E5} - C:\Program Files\Veetle\VLCBroadcast\lbclient.exe (?)
    HKCU_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files\Veetle\Player\vtl_hfs.exe (?)
    HKCU_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files\Veetle\Player\player.exe (?)
    HKCU_ElevationPolicy\{AD6C7CB1-6324-401E-94F4-A09BDC10C866} - C:\Program Files\Veetle\VLCBroadcast\vlc_encoder.exe (?)
    HKCU_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files\Veetle\Player\vtl_hfax.exe (?)
    HKLM_ElevationPolicy\67f872ff-fda3-41df-9511-8c70ef409c57 - C:\Program Files\Download-FR\Download-FRToolbarHelper.exe (x)
    HKLM_ElevationPolicy\{B2321D2F-1154-4d97-AD3E-2FE0BAE2897B} - C:\Program Files\SFR\Kit\9launch.exe (SFR)
    HKLM_ElevationPolicy\{d683a490-b78d-4345-b55e-be96b973cbb5} - c:\program files\aol toolbar\aoltbServer.exe (AOL Inc)
    HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    BHO\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - "Objet d'aide à la navigation SFR" (C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll)
    BHO\{3ef64538-8b54-4573-b48f-4d34b0238ab2} - "AOL Toolbar Loader" (C:\Program Files\AOL Toolbar\aoltb.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - "EWPBrowseObject Class" (C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll)
    BHO\{7C48C6AA-30EB-4CAE-B63A-F41E49700AE8} (?)
    BHO\{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 263 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 16/02/2011 13:51:08 (9147 Octet(s))

    Fin à: 13:51:44, 16/02/2011

    ============== E.O.F ==============
    0
  14. Utilisateur anonyme
     
    voulais savoir si je pouvais débranché mon disk dur, j'avais envie de regarder un film.
    oui

    * Copies tout le texte présent en gras dans l'encadré ci-dessous
    (tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    -------------------------------------------------------------------------------------------------

    MBRfix

    -------------------------------------------------------------------------------------------------

    * Double Clique sur l'icone ZhpFix du bureau pour le lancer .
    * Pour Vista et Windows7 fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"

    * clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
    * Dans l'encadré principal MBRfix doit apparaitre.
    * cliques ==> OK puis ==>Tous et==>Nettoyer.
    * colle le rapport obtenu .
    ( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )
    0
  15. alsss
     
    Rapport de ZHPFix 1.12.3252 par Nicolas Coolman, Update du 15/02/2011
    Fichier d'export Registre :
    Run by Admin at 16/02/2011 14:05:09
    Windows XP Professional Service Pack 2 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Master Boot Record ==========
    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
    Windows 5.1.2600 Disk: SAMSUNG_HD321KJ rev.CP100-10 -> \Device\Ide\IdeDeviceP2T0L0-7

    device: opened successfully
    user: MBR read successfully

    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A5EE408]<<
    1 ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\Harddisk0\DR0[0x8AA54AB8]
    3 CLASSPNP[0xF74F805B] -> ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\00000084[0x8AA54300]
    5 ACPI[0xF7337620] -> ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\Ide\IdeDeviceP2T0L0-7[0x8AA53940]
    \Driver\atapi[0x8AA76350] -> IRP_MJ_CREATE -> 0x8A5EE408
    kernel: MBR read successfully
    detected hooks:
    \Driver\atapi -> 0x8a5ee408
    user & kernel MBR OK
    Warning: possible MBR rootkit infection !

    Resultat après le fix :
    Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
    Windows 5.1.2600 Disk: SAMSUNG_HD321KJ rev.CP100-10 -> \Device\Ide\IdeDeviceP2T0L0-7

    device: opened successfully
    user: MBR read successfully

    Disk trace:
    called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A5EE408]<<
    1 ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\Harddisk0\DR0[0x8AA54AB8]
    3 CLASSPNP[0xF74F805B] -> ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\00000084[0x8AA54300]
    5 ACPI[0xF7337620] -> ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\Ide\IdeDeviceP2T0L0-7[0x8AA53940]
    \Driver\atapi[0x8AA76350] -> IRP_MJ_CREATE -> 0x8A5EE408
    kernel: MBR read successfully
    detected hooks:
    \Driver\atapi -> 0x8a5ee408
    user & kernel MBR OK
    Warning: possible MBR rootkit infection !

    ========== Récapitulatif ==========
    1 : Master Boot Record

    End of the scan
    0
  16. Utilisateur anonyme
     
    On continu la désinfection.

    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

    * Télécharge combofix(de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
    /!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
    * Lorsque la recherche sera terminée, un rapport apparaîtra.
    * Héberge le rapport C:\Combofix.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    #Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
    Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
    0
  17. alsss
     
    ça fait 2 fois que je la,ce combofix, mais avant qu'il est finit son scan, le pc plante, j'ai un écran bleu ou il me dit qu'un des composants à un problème.
    0
    1. Utilisateur anonyme
       
      Lances combofix en mode sans echec


      Mode sans echec sous xp
      * Redémarrer le PC.
      * Au démarrage du PC, après la première image (celle du BIOS), tapoter la touche F8 jusqu'à l'apparition du menu des options avancées.
      * Ensuite à l'aide des flèches du clavier, sélectionner "Mode sans échec" et valider par Entrer
      * Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.
      0
    2. alss
       
      Par contre combofix me dit que antivir est toujours actif, et je n'arrive pas à le désactiver, en mode sans échec je n'ai pas le petit parapluie à coté de l'horloge.
      0
    3. alss
       
      Quand je rentre dans antivir, il me dit pourtant que antivir guard est arrété, mais combofix me dit toujours qu'il est actif. Est ce que je lance quand même le scan?
      0
    4. Utilisateur anonyme
       
      Est ce que je lance quand même le scan?
      Oui
      0
  18. alsss
     
    Une fois que combofix était fini, il m'a redémarrer le pc en mode normal, pendant qu'il finalisait, le pc a planté comme tout à l'heure. Je te joins tout de m^me le rapport que j'ai.

    http://www.cijoint.fr/cjlink.php?file=cj201102/cij0TmJqJF.txt
    0
  19. Utilisateur anonyme
     
    * rends toi sur ce site : https://www.virustotal.com/gui/
    ==>Analyse ce fichier:
    ----------------------------------------------------------------------
    C:\WINDOWS\system32\winsys2.exe

    ----------------------------------------------------------------------
    * Cliquez sur Parcourir... :
    * Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
    * Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
    * Fais un copier/coller du rapport sur le forum.
    0
  20. Utilisateur anonyme
     
    Télécharge BTRK_RunBox Par jeanmimigab sur ton bureau.
    Fais un double-clic dessus pour le lancer.
    Une fenêtre qui s'ouvre, patiente jusqu'au message"Download OK" et appuie sur une touche comme demandé.
    Fais le choix 1 et appuie sur la touche "Entrée".
    Le bloc note ouvre une page, fais un clic-droit à l'intérieure et choisis "Coller".
    poste le contenu du rapport qui apparait dans cette page et ferme le.
    Pour quitter le programme fais le choix 4 et appuie sur la touche "Entrée".
    0
  • 1
  • 2