Sujet Précédent Sujet Suivant

Pc infesté system tool

Résolu/Fermé
alsss - 16 févr. 2011 à 09:58
 Utilisateur anonyme - 18 févr. 2011 à 09:59
Bonjour,





Bonjour, sur le pc de ma copine il y'a system tool qui s'est installé, iol empeche le lancement de toutes les applications, et me propose de payer pour m'en débarasser.
Quelqu'un peut m'aider?
Merci davance
A voir également:

35 réponses

  • 1
  • 2
Réponse 1 / 35
Utilisateur anonyme
16 févr. 2011 à 10:01
Bonjour

* Télécharge sur le bureau RogueKiller (par tigzy)

* Sous Vista/Seven,clique droit, lancer en tant qu'administrateur
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 1 et valide
* Si le programme demande pour supprimer le proxy, tapez 1 si vous êtes sûr que ce n'est pas vous qui l'avez mis
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
========================================================
* Télécharge et installe : Malwarebyte's Anti-Malware
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

0
Réponse 2 / 35
alsss
16 févr. 2011 à 10:04
Merci pour la réponse rapide, par contre je n'arrive pas à lancer les programmes que tu m'as demandé de telecharger.
Ca marcherais en mode sans échec?
0
Réponse 3 / 35
alsss
16 févr. 2011 à 10:07
en fait j'ai réussi à lancer rogue killer, voici le rapport

RogueKiller V3.10.0 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback:

https://www.luanagames.com/index.fr.html

KillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 2)

32 bits version
Started in : Normal mode
User: Admin [Admin rights]
Mode: Scan -- Time : 16/02/2011 10:09:51

Bad processes:
Killed c:\documents and settings\all users\application

data\eicecjk06504\eicecjk06504.exe

Found:
HKLM\...\RUN\ SW20 :

C:\WINDOWS\system32\sw20.exe
HKLM\...\RUN\ SW24 :

C:\WINDOWS\system32\sw24.exe
HKCU\...\RUNONCE\ eIcEcJk06504 : C:\Documents and

Settings\All Users\Application

Data\eIcEcJk06504\eIcEcJk06504.exe

HOSTS File:
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]


Finished
0
Réponse 4 / 35
Utilisateur anonyme
16 févr. 2011 à 10:16
Relances roguekiller et choisis l'option 2.Ensuite fais Malwarebyte's comme indiqué ici.https://forums.commentcamarche.net/forum/affich-20878638-pc-infeste-system-tool#1
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
alsss
16 févr. 2011 à 10:20
RogueKiller V3.10.0 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Started in : Normal mode
User: Admin [Admin rights]
Mode: Remove -- Time : 16/02/2011 10:25:10

Bad processes:

Deregistred:

HOSTS File:
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]


Finished
0
Réponse 6 / 35
alsss
16 févr. 2011 à 11:11
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5772

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

16/02/2011 11:15:58
mbam-log-2011-02-16 (11-15-58).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 353652
Temps écoulé: 56 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Admin\local settings\Temp\jar_cache5091779005445429467.tmp (Rogue.Palladium) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\eicecjk06504\eicecjk06504.exe (Rogue.Palladium) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\application data\sywek_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\application data\sywek_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
0
Réponse 7 / 35
Utilisateur anonyme
16 févr. 2011 à 12:15
Tres bien on avance.



On va faire une analyse de ton systéme.
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe

* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag

***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0
Réponse 8 / 35
alsss
16 févr. 2011 à 12:39
voila c'est fait, merci beaucoup de ton aide.

http://www.cijoint.fr/cjlink.php?file=cj201102/cijjqZMuzY.txt
0
Réponse 9 / 35
Utilisateur anonyme
16 févr. 2011 à 13:17
Eh bin tu es sacrement infecté.On est ensemble pour un petit moment :)

Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

http://www.teamxscript.org/usbfixTelechargement.html

\ !/Désactive provisoirement la protection en temps réel de ton Antivirus et de tes Antispywares.\ !/
* Double-clique sur l'icône Usbfix située sur ton Bureau.
* Clique sur le bouton.
* Suppression
* Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Cliques sur OK
* Laisses Usbfix scanner ton système
* Postes le rapport qui se trouve ici ===========?C:\ UsbFix.txt

\ !/Apres l'option suppression il est recommander de redémarrer votre pc .Pensez a réactiver vos protections . (Antivirus et Antispywares.)\ !/
0
Réponse 10 / 35
alsss
16 févr. 2011 à 13:32
j'ai branché mon disque dur externe, c'est le seul dont je me sers, à chaque fois que je le connecté au pc antivir me prevenait d'une menace.
Merci du temps passé pour moi.
voila le rapport

############################## | UsbFix 7.039 | [Suppression]

Utilisateur: Admin (Administrateur) # XPSP2-89592AECE [ ]
Mis à jour le 09/02/2011 par El Desaparecido / C_XX
Lancé à 13:32:05 | 16/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.56 [(!) Disabled | Updated]
RAM -> 2047 Mo
C:\ (%systemdrive%) -> Disque fixe # 98 Go (6 Go libre(s) - 6%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque fixe # 200 Go (18 Go libre(s) - 9%) [] # NTFS
F:\ -> CD-ROM
G:\ -> Disque fixe # 932 Go (883 Go libre(s) - 95%) [PEEKBOX] # NTFS
H:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\Documents and Settings\Admin\RavMonLog
Supprimé! C:\Recycler\S-1-5-21-1960408961-839522115-1583442344-1003
Supprimé! E:\Recycler\S-1-5-21-1960408961-839522115-1583442344-1003
Non supprimé ! F:\Autorun.inf
Non supprimé ! F:\autorun.exe

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRecentDocsMenu
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoSMHelp

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{08c74192-2e6e-11de-b08e-001bfcdc7adb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0f0caa78-6155-11dc-ace9-806d6172696f}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{66686f61-b15c-11dc-ad79-001bfcdc7adb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{786d5cae-d505-11dd-afce-001bfcdc7adb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7c5af1c6-8d55-11dc-ad47-001bfcdc7adb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7e2e7f28-2719-11dd-ae2d-001bfcdc7adb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{98aa62e4-b9ee-11df-b303-001bfcdc7adb}
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{bcfa7509-6793-11dc-acfd-001bfcdc7adb}

################## | Listing |

[29/08/2009 - 14:22:14 | N | 1024] C:\.rnd
[15/12/2010 - 17:49:47 | N | 2006] C:\aqua_bitmap.cpp
[12/09/2007 - 22:26:53 | N | 0] C:\autoexec.000
[06/03/2010 - 11:56:22 | N | 44] C:\autoexec.bat
[16/02/2011 - 08:56:31 | N | 53] C:\biosinfo
[19/09/2007 - 14:35:06 | N | 212] C:\boot.ini
[02/10/2001 - 19:15:54 | N | 4952] C:\Bootfont.bin
[12/02/2011 - 08:39:34 | D ] C:\Config.Msi
[12/09/2007 - 22:26:53 | N | 0] C:\CONFIG.SYS
[29/08/2009 - 14:33:05 | D ] C:\Documents and Settings
[12/12/2010 - 21:27:47 | N | 339968] C:\feuille_pronos_j_17_ALS.xls
[19/12/2010 - 23:05:24 | N | 339968] C:\feuille_pronos_j_18_ALS.xls
[22/12/2010 - 23:24:04 | N | 337408] C:\feuille_pronos_j_19_ALS.xls
[17/01/2011 - 15:53:50 | N | 339968] C:\feuille_pronos_j_20_ALS.xls
[18/01/2011 - 10:06:16 | N | 366592] C:\feuille_pronos_j_21_BASE.xls
[12/09/2007 - 22:42:55 | D ] C:\Intel
[12/09/2007 - 22:26:53 | N | 0] C:\IO.SYS
[12/09/2007 - 22:26:53 | N | 0] C:\MSDOS.SYS
[11/09/2009 - 12:35:18 | RHD ] C:\MSOCache
[03/08/2004 - 23:38:34 | N | 47564] C:\NTDETECT.COM
[03/08/2004 - 23:59:44 | N | 251712] C:\ntldr
[07/07/2009 - 15:37:10 | D ] C:\NVIDIA
[16/02/2011 - 11:18:02 | ASH | 805306368] C:\pagefile.sys
[16/02/2011 - 12:41:45 | D ] C:\Program Files
[16/02/2011 - 13:35:07 | SHD ] C:\RECYCLER
[14/09/2007 - 15:57:32 | SHD ] C:\System Volume Information
[16/02/2011 - 13:35:07 | D ] C:\UsbFix
[16/02/2011 - 13:35:08 | A | 1192] C:\UsbFix.txt
[16/02/2011 - 11:45:03 | D ] C:\WINDOWS
[18/12/2009 - 12:17:25 | N | 24576] E:\CV alan Thibaut.doc
[19/04/2010 - 15:10:30 | D ] E:\desprout
[02/12/2010 - 12:25:42 | D ] E:\desproute
[12/11/2009 - 20:58:06 | D ] E:\dexter
[31/03/2010 - 13:22:09 | D ] E:\Diablo II Complet avec Extension FR
[08/03/2010 - 12:35:50 | D ] E:\ea48631d45b04116207116
[02/12/2010 - 12:10:09 | D ] E:\earl
[17/01/2011 - 16:39:12 | D ] E:\film
[17/03/2010 - 13:20:32 | D ] E:\jeux
[29/07/2008 - 12:52:25 | D ] E:\logiciel
[29/03/2010 - 15:31:00 | D ] E:\Ma musique
[02/03/2010 - 18:04:04 | D ] E:\MARION
[16/03/2010 - 13:47:06 | D ] E:\MathsCollege
[22/11/2009 - 23:55:34 | D ] E:\msdownld.tmp
[02/12/2010 - 11:13:25 | D ] E:\muisic
[27/08/2010 - 15:38:44 | D ] E:\my name is earl
[23/11/2009 - 16:36:49 | D ] E:\photo
[16/02/2011 - 13:35:07 | SHD ] E:\RECYCLER
[21/08/2010 - 12:12:53 | D ] E:\shameless
[13/12/2010 - 13:09:40 | D ] E:\simpson
[09/11/2009 - 12:28:05 | D ] E:\simpson s20
[01/05/2009 - 15:54:53 | D ] E:\skins
[12/09/2007 - 19:29:14 | SHD ] E:\System Volume Information
[09/03/2010 - 22:47:30 | D ] E:\tofs
[02/12/2010 - 12:17:52 | D ] E:\weeds
[27/04/2007 - 12:06:14 | R | 332744] F:\_Setup.dll
[18/11/2009 - 15:30:26 | R | 554312] F:\autorun.exe
[27/10/2009 - 18:58:33 | R | 16958] F:\Autorun.ico
[27/10/2009 - 14:59:30 | R | 69] F:\Autorun.inf
[02/12/2009 - 13:22:37 | R | 1213900] F:\data1.cab
[02/12/2009 - 13:22:37 | R | 20907] F:\data1.hdr
[02/12/2009 - 13:26:23 | R | 3297082216] F:\data2.cab
[02/12/2009 - 13:44:15 | RD ] F:\DirectX
[02/12/2009 - 13:44:15 | RD ] F:\GFWL
[02/12/2009 - 13:22:36 | R | 541056] F:\ISSetup.dll
[02/12/2009 - 13:26:23 | R | 533] F:\layout.bin
[02/12/2009 - 13:44:19 | RD ] F:\Readme
[29/10/2009 - 16:19:21 | R | 468056] F:\Setup.bmp
[02/12/2009 - 13:22:34 | R | 378240] F:\setup.exe
[02/12/2009 - 13:22:32 | R | 532] F:\setup.ini
[02/12/2009 - 13:22:28 | R | 254863] F:\setup.inx

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par Panda USB Vaccine
0
Réponse 11 / 35
alsss
16 févr. 2011 à 13:36
C'est normal que je ne puisse pas fermé UsbFix?
0
Réponse 12 / 35
Utilisateur anonyme
16 févr. 2011 à 13:44
C'est normal que je ne puisse pas fermé UsbFix?
Non .Pour le fermer fais ===>ctrl+alt+suppr
Ouvres ton gestionnaires des taches et clic sur l'onglet application.
Cilc sous taches sur usbfix et enfin sur fin de taches.

On continue la desinfection

Télécharge Ad-Remover sur ton bureau:

http://www.teamxscript.org/adremoverTelechargement.html


/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur
"Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt
0
Réponse 13 / 35
alsss
16 févr. 2011 à 13:51
Je voulais savoir si je pouvais débranché mon disk dur, j'avais envie de regarder un film.

======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 16/02/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 13:50:52 le 16/02/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86)
Admin@XPSP2-89592AECE ( )

============== ACTION(S) ==============


Fichier supprimé: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
Dossier supprimé: C:\Documents and Settings\Admin\Application Data\Mozilla\FireFox\Profiles\m5j8ztdv.default\conduit
Dossier supprimé: C:\Documents and Settings\Admin\Application Data\Mozilla\FireFox\Profiles\m5j8ztdv.default\extensions\vshare@toolbar
Dossier supprimé: C:\Program Files\Ask.com
Dossier supprimé: C:\Documents and Settings\Admin\Local Settings\Application Data\AskToolbar
Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Everest Poker
Dossier supprimé: C:\Program Files\Everest Poker
Dossier supprimé: C:\Documents and Settings\All Users\Application Data\Viewpoint
Dossier supprimé: C:\Program Files\Viewpoint
Fichier supprimé: C:\Documents and Settings\All Users\Bureau\Everest Poker.lnk

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Documents and Settings\Admin\Application Data\Mozilla\FireFox\Profiles\m5j8ztdv.default\Prefs.js --
Ligne supprimée: user_pref("CT1060933.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT106...
Ligne supprimée: user_pref("CommunityToolbar.MyGadgetsIntervalMM", 1440);
Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "CT1060933");
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "CT1060933");
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoInterval", 60);
Ligne supprimée: user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Sat May 16 2009 21:02:39 GMT+0200");
Ligne supprimée: user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.alert.locale", "en");
Ligne supprimée: user_pref("CommunityToolbar.alert.loginIntervalMin", 1440);
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastCheckTime", "Sat May 16 2009 21:02:39 GMT+0200");
Ligne supprimée: user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1234796400");
Ligne supprimée: user_pref("CommunityToolbar.alert.messageShowTimeSec", 20);
Ligne supprimée: user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com");
Ligne supprimée: user_pref("CommunityToolbar.alert.showTrayIcon", false);
Ligne supprimée: user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300);
Ligne supprimée: user_pref("CommunityToolbar.alert.userId", "{3f5d42a0-c405-49bb-afb9-f89d34d7527c}");
Ligne supprimée: user_pref("extensions.asktb.cbid", "NV");
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}...
Ligne supprimée: user_pref("extensions.asktb.dtid", "YYYYYYYYUS");
Ligne supprimée: user_pref("extensions.asktb.fresh-install", false);
Ligne supprimée: user_pref("extensions.asktb.l", "dis");
Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1281809400175");
Ligne supprimée: user_pref("extensions.asktb.locale", "fr_US");
Ligne supprimée: user_pref("extensions.asktb.o", "15666");
Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");
Ligne supprimée: user_pref("extensions.asktb.r", "2");
Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true);
Ligne supprimée: user_pref("extensions.enabledItems", "{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.3,{CAFEEFAC-0016-00...
Ligne supprimée: user_pref("vshare.install.date", "1284508800000");
Ligne supprimée: user_pref("vshare.install.finished", "1.0.0");
Ligne supprimée: user_pref("vshare.install.guid", "{3033a47b-7a5c-4dad-abfb-6fa7444daf6d}");
Ligne supprimée: user_pref("vshare.install.isHidden", true);
Ligne supprimée: user_pref("vshare.install.laststatreq", "1297814400000");
Ligne supprimée: user_pref("vshare.install.newtab", false);
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé supprimée: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\MetaStream
Clé supprimée: HKLM\Software\Viewpoint
Clé supprimée: HKCU\Software\Ask.com
Clé supprimée: HKCU\Software\AskToolbar
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\Grand Virtual
Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Everest Poker
Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Everest Poker
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.13 (fr)] ****

Plugins\npdnu.dll (AOL LLC)
Plugins\npdnupdater2.dll (AOL LLC)
HKLM_MozillaPlugins\@viewpoint.com/VMP (x)
HKCU_MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0 (x)
HKCU_MozillaPlugins\electronicarts.com/GameFacePlugin (x)
Searchplugins\conduit.xml (hxxp://search.conduit.com/ResultsExt.aspx)
Searchplugins\MediaDICO-fr.xml (hxxp://www.dictionnaire-mediadico.com/dictionnaires.asp)

-- C:\Documents and Settings\Admin\Application Data\Mozilla\FireFox\Profiles\m5j8ztdv.default --
Extensions\LogMeInClient@logmein.com (LogMeIn, Inc. Remote Access Plugin)
Extensions\{1392b8d2-5c05-419f-a8f6-b9f15a596612} (Freecorder Toolbar)
Searchplugins\aol-search.xml (?)
User.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=
Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Admin\\Mes documents\\Téléchargements
Prefs.js - browser.search.defaultenginename, AOL Search
Prefs.js - browser.search.defaulturl, hxxp://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-aolTB50CL-chro...
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13
Prefs.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=
Prefs.js - privacy.popups.showBrowserMessage, false

========================================

**** Internet Explorer Version [6.0.2900.2180] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{f0e98552-8e47-4c6c-9b3a-11ab0549f94d} - "AOL Toolbar Search Class" (C:\Program Files\AOL Toolbar\aoltb.dll)
HKLM_URLSearchHooks|{f0e98552-8e47-4c6c-9b3a-11ab0549f94d} - "AOL Toolbar Search Class" (C:\Program Files\AOL Toolbar\aoltb.dll)
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "?" (?)
HKCU_Toolbar\WebBrowser|{BA00B7B1-0351-477A-B948-23E3EE5A73D4} (C:\Program Files\AOL Toolbar\aoltb.dll)
HKLM_Toolbar|{327C2873-E90D-4c37-AA9D-10AC9BABA46C} (C:\Program Files\Canon\Easy-WebPrint\Toolband.dll)
HKLM_Toolbar|{ba00b7b1-0351-477a-b948-23e3ee5a73d4} (C:\Program Files\AOL Toolbar\aoltb.dll)
HKCU_ElevationPolicy\{1A84286C-B9A7-4CB6-AB1A-A81E9E0B05E5} - C:\Program Files\Veetle\VLCBroadcast\lbclient.exe (?)
HKCU_ElevationPolicy\{6052BF20-EA23-4A04-B3C1-A20EFE01A95A} - C:\Program Files\Veetle\Player\vtl_hfs.exe (?)
HKCU_ElevationPolicy\{680FA47E-AB59-46BE-B594-7358726E108B} - C:\Program Files\Veetle\Player\player.exe (?)
HKCU_ElevationPolicy\{AD6C7CB1-6324-401E-94F4-A09BDC10C866} - C:\Program Files\Veetle\VLCBroadcast\vlc_encoder.exe (?)
HKCU_ElevationPolicy\{E8BC6C2B-DD90-4397-96EB-2AAF0E48ABE6} - C:\Program Files\Veetle\Player\vtl_hfax.exe (?)
HKLM_ElevationPolicy\67f872ff-fda3-41df-9511-8c70ef409c57 - C:\Program Files\Download-FR\Download-FRToolbarHelper.exe (x)
HKLM_ElevationPolicy\{B2321D2F-1154-4d97-AD3E-2FE0BAE2897B} - C:\Program Files\SFR\Kit\9launch.exe (SFR)
HKLM_ElevationPolicy\{d683a490-b78d-4345-b55e-be96b973cbb5} - c:\program files\aol toolbar\aoltbServer.exe (AOL Inc)
HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - "Objet d'aide à la navigation SFR" (C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll)
BHO\{3ef64538-8b54-4573-b48f-4d34b0238ab2} - "AOL Toolbar Loader" (C:\Program Files\AOL Toolbar\aoltb.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
BHO\{68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - "EWPBrowseObject Class" (C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll)
BHO\{7C48C6AA-30EB-4CAE-B63A-F41E49700AE8} (?)
BHO\{8e7da7e7-9f7e-426e-b964-be9f1cbc9d79} (?)

========================================

C:\Program Files\Ad-Remover\Quarantine: 263 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 16/02/2011 13:51:08 (9147 Octet(s))

Fin à: 13:51:44, 16/02/2011

============== E.O.F ==============
0
Réponse 14 / 35
Utilisateur anonyme
16 févr. 2011 à 13:57
voulais savoir si je pouvais débranché mon disk dur, j'avais envie de regarder un film.
oui

* Copies tout le texte présent en gras dans l'encadré ci-dessous
(tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )

-------------------------------------------------------------------------------------------------

MBRfix



-------------------------------------------------------------------------------------------------

* Double Clique sur l'icone ZhpFix du bureau pour le lancer .
* Pour Vista et Windows7 fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"

* clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal MBRfix doit apparaitre.
* cliques ==> OK puis ==>Tous et==>Nettoyer.
* colle le rapport obtenu .
( ce rapport est sauvegardé dans ce dossier C:\Program files\ZHPDiag\ZHPFixReport.txt )
0
Réponse 15 / 35
alsss
16 févr. 2011 à 14:00
Rapport de ZHPFix 1.12.3252 par Nicolas Coolman, Update du 15/02/2011
Fichier d'export Registre :
Run by Admin at 16/02/2011 14:05:09
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD321KJ rev.CP100-10 -> \Device\Ide\IdeDeviceP2T0L0-7

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A5EE408]<<
1 ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\Harddisk0\DR0[0x8AA54AB8]
3 CLASSPNP[0xF74F805B] -> ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\00000084[0x8AA54300]
5 ACPI[0xF7337620] -> ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\Ide\IdeDeviceP2T0L0-7[0x8AA53940]
\Driver\atapi[0x8AA76350] -> IRP_MJ_CREATE -> 0x8A5EE408
kernel: MBR read successfully
detected hooks:
\Driver\atapi -> 0x8a5ee408
user & kernel MBR OK
Warning: possible MBR rootkit infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HD321KJ rev.CP100-10 -> \Device\Ide\IdeDeviceP2T0L0-7

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A5EE408]<<
1 ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\Harddisk0\DR0[0x8AA54AB8]
3 CLASSPNP[0xF74F805B] -> ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\00000084[0x8AA54300]
5 ACPI[0xF7337620] -> ntkrnlpa!IofCallDriver[0x804EF09C] -> \Device\Ide\IdeDeviceP2T0L0-7[0x8AA53940]
\Driver\atapi[0x8AA76350] -> IRP_MJ_CREATE -> 0x8A5EE408
kernel: MBR read successfully
detected hooks:
\Driver\atapi -> 0x8a5ee408
user & kernel MBR OK
Warning: possible MBR rootkit infection !


========== Récapitulatif ==========
1 : Master Boot Record


End of the scan
0
Réponse 16 / 35
Utilisateur anonyme
16 févr. 2011 à 14:14
On continu la désinfection.

/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
0
Réponse 17 / 35
alsss
16 févr. 2011 à 14:36
ça fait 2 fois que je la,ce combofix, mais avant qu'il est finit son scan, le pc plante, j'ai un écran bleu ou il me dit qu'un des composants à un problème.
0
Utilisateur anonyme
16 févr. 2011 à 14:43
Lances combofix en mode sans echec


Mode sans echec sous xp
* Redémarrer le PC.
* Au démarrage du PC, après la première image (celle du BIOS), tapoter la touche F8 jusqu'à l'apparition du menu des options avancées.
* Ensuite à l'aide des flèches du clavier, sélectionner "Mode sans échec" et valider par Entrer
* Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.
0
alss
16 févr. 2011 à 15:01
Par contre combofix me dit que antivir est toujours actif, et je n'arrive pas à le désactiver, en mode sans échec je n'ai pas le petit parapluie à coté de l'horloge.
0
alss
16 févr. 2011 à 15:04
Quand je rentre dans antivir, il me dit pourtant que antivir guard est arrété, mais combofix me dit toujours qu'il est actif. Est ce que je lance quand même le scan?
0
Utilisateur anonyme
16 févr. 2011 à 15:13
Est ce que je lance quand même le scan?
Oui
0
Réponse 18 / 35
alsss
16 févr. 2011 à 15:35
Une fois que combofix était fini, il m'a redémarrer le pc en mode normal, pendant qu'il finalisait, le pc a planté comme tout à l'heure. Je te joins tout de m^me le rapport que j'ai.

http://www.cijoint.fr/cjlink.php?file=cj201102/cij0TmJqJF.txt
0
Réponse 19 / 35
Utilisateur anonyme
16 févr. 2011 à 16:02
* rends toi sur ce site : https://www.virustotal.com/gui/
==>Analyse ce fichier:
----------------------------------------------------------------------
C:\WINDOWS\system32\winsys2.exe

----------------------------------------------------------------------
* Cliquez sur Parcourir... :
* Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
* Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.
0
Réponse 20 / 35
Utilisateur anonyme
16 févr. 2011 à 17:03
Télécharge BTRK_RunBox Par jeanmimigab sur ton bureau.
Fais un double-clic dessus pour le lancer.
Une fenêtre qui s'ouvre, patiente jusqu'au message"Download OK" et appuie sur une touche comme demandé.
Fais le choix 1 et appuie sur la touche "Entrée".
Le bloc note ouvre une page, fais un clic-droit à l'intérieure et choisis "Coller".
poste le contenu du rapport qui apparait dans cette page et ferme le.
Pour quitter le programme fais le choix 4 et appuie sur la touche "Entrée".
0