Problème supression espion avec malwarebytes

cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

J'ai fait une analyse avec Malwarebytes hier , j'avais 10 éléments trouvée ...

Je les supprime normalement puis je me rencontre que a chaque fois que je refait un scan il m'en trouve toujours autant , impossible de supprimer ....

Par ailleurs quand je clique sur des liens sur internet souvent je suis redirigée vers Gomeo.fr ...

Des idée ?

Merci d'avance :)

26 réponses

  • 1
  • 2
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Peux-tu poster le rapport MBAM.

    Et ensuite on va faire un diagnostic de ton PC:

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  2. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    Merci de ta réponse :)

    Voici le rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201102/cij7hQAMVJ.txt

    Et le rapport MBAM :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5867

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    24/02/2011 21:39:41
    mbam-log-2011-02-24 (21-39-38).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 279457
    Temps écoulé: 6 minute(s), 8 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{D6U1555R-R746-BEH4-HI15-FQQ8G785R8O4} (Trojan.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{D6U1555R-R746-BEH4-HI15-FQQ8G785R8O4} (Trojan.Agent) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender (Trojan.Agent) -> Value: Windows Defender -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Live Messenger (Trojan.Agent) -> Value: Windows Live Messenger -> No action taken.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Cedric\AppData\Roaming\logs.dat (Bifrose.Trace) -> No action taken.
    c:\Windows\Temp\svchost.exe (Trojan.Agent) -> No action taken.
    c:\Users\Cedric\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> No action taken.
    c:\Users\Cedric\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> No action taken.

    Sinon petite question j'ai fait quelque recherche sur ce fameux Goméo et j'ai vue que pas mal avais eu ce problème notamment ses derniers jours ... Quel est ce fameux virus ? Que beaucoup choppe ces temps ci ...
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Ce virus s'attrape en allant sur des sites malicieux. En fin de désinfection je te suggerai d'installer une extension pour ton navigateur internet qui t'avertira des sites à mauvaise réputation.

    En attendant ton PC est bien infecté. Toolbars malicieuces et infections par clé USB. Lis encore ces dossiers:
    Les Toolbars ce n'est pas obligatoires
    Infections par disques amovibles
    Infections par disques amovibles 2

    Concernant Malwrebytes, il est normal que cela n'a rien fait car tu n'as pas sélectionné les éléments malicieux pour les supprimer, je le vois grâce à cette notation ==> No action taken
    Pour le moment tu vas suivre ce que je te propose:

    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
    - Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Ensuite tu fais ceci:

    - Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
    -Clique sur "Recherche"
    - Laisse travailler l'outil
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    Aide en images : "Recherche"

    Cela fait deux rapports à poster

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  4. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    OK merci :)

    Pour MalwareBytes c'est normal j'ai poster le rapport sans les supprimer mais de toute façon j'y avais déjà fait et il reviennent sans cesse ...

    Voici le rapport de AD Remover :

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,E | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 21/02/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 22:02:04 le 24/02/2011, Mode normal

    Microsoft Windows 7 Édition Intégrale (X64)
    Cedric@CEDRICPC (System manufacturer System Product Name)

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Users\Cedric\AppData\Roaming\Mozilla\FireFox\Profiles\oxbikmww.default\extensions\vshare@toolbar
    Fichier supprimé: C:\Users\Cedric\AppData\Roaming\Mozilla\FireFox\Profiles\oxbikmww.default\searchplugins\web-search.xml
    Dossier supprimé: C:\Program Files (x86)\AutocompletePro
    Dossier supprimé: C:\ProgramData\Viewpoint
    Dossier supprimé: C:\Program Files (x86)\Viewpoint

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\Cedric\AppData\Roaming\Mozilla\FireFox\Profiles\oxbikmww.default\Prefs.js --
    Ligne supprimée: user_pref("extensions.asktb.cbid", "CV");
    Ligne supprimée: user_pref("extensions.asktb.crumb", "2011.02.19+08.27.46-toolbar006iad-FR-Qm91bG9nbmUtQmlsbGFuY291cn...
    Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://fr.ask.com/web?q={query}&qsrc={qsrc}&...
    Ligne supprimée: user_pref("extensions.asktb.dtid", "YYYYYYYYFR");
    Ligne supprimée: user_pref("extensions.asktb.fresh-install", false);
    Ligne supprimée: user_pref("extensions.asktb.l", "dis");
    Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1298132867786");
    Ligne supprimée: user_pref("extensions.asktb.locale", "fr_FR");
    Ligne supprimée: user_pref("extensions.asktb.o", "14654");
    Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
    Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871");
    Ligne supprimée: user_pref("extensions.asktb.r", "4");
    Ligne supprimée: user_pref("extensions.asktb.search-suggestions-enabled", true);
    Ligne supprimée: user_pref("extensions.vshare@toolbar.update.enabled", false);
    Ligne supprimée: user_pref("keyword.URL", "hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=");
    Ligne supprimée: user_pref("vshare.install.date", "1298073600000");
    Ligne supprimée: user_pref("vshare.install.dumpFileCount", 0);
    Ligne supprimée: user_pref("vshare.install.dumpFileDisabled", false);
    Ligne supprimée: user_pref("vshare.install.finished", "1.0.0");
    Ligne supprimée: user_pref("vshare.install.guid", "{67d9a27a-af77-44d6-a6bb-cec03253432d}");
    Ligne supprimée: user_pref("vshare.install.isDisabled", false);
    Ligne supprimée: user_pref("vshare.install.isHidden", true);
    Ligne supprimée: user_pref("vshare.install.istoolbarhp", true);
    Ligne supprimée: user_pref("vshare.install.istoolbarsearch", true);
    Ligne supprimée: user_pref("vshare.install.laststatreq", "1298160000000");
    Ligne supprimée: user_pref("vshare.install.newtab", true);
    Ligne supprimée: user_pref("vshare.install.overlayVersion", 1);
    Ligne supprimée: user_pref("vshare.install.userHPSettings", "hxxp://google.fr");
    Ligne supprimée: user_pref("vshare.install.userSPSettings", "");
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}
    Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé supprimée: HKLM\Software\Classes\Interface\{C9AE652B-8C99-4AC2-B556-8B501182874E}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{01BCB858-2F62-4F06-A8F4-48F927C15333}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    Clé supprimée: HKLM\Software\Classes\SuggestMeYes.SuggestMeYesBHO
    Clé supprimée: HKLM\Software\Classes\SuggestMeYes.SuggestMeYesBHO.1
    Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
    Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé supprimée: HKLM\Software\Classes\AppID\AutocompletePro.DLL
    Clé supprimée: HKLM\Software\Classes\AppID\{442F13BC-2031-42D5-9520-437F65271153}
    Clé supprimée: HKLM\Software\MetaStream
    Clé supprimée: HKLM\Software\Viewpoint
    Clé supprimée: HKCU\Software\AutocompletePro
    Clé supprimée: HKCU\Software\Ask.com
    Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
    Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
    Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\AutocompletePro3_is1
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}

    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.13 (fr)] ****

    HKLM_MozillaPlugins\@viewpoint.com/VMP (x)
    Searchplugins\acpro.xml ( hxxp://search.autocompletepro.com?si=10203&q={searchTerms}/)

    -- C:\Users\Cedric\AppData\Roaming\Mozilla\FireFox\Profiles\oxbikmww.default --
    Extensions\support@predictad.com (AutocompletePro - Your handy search suggestions tool)
    Prefs.js - browser.download.dir, D:\\Tékéchargement firefox
    Prefs.js - browser.search.defaultenginename, Web Search...
    Prefs.js - browser.startup.homepage, hxxp://google.fr
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================

    **** Internet Explorer Version [8.0.7600.16385] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} - "Web Search" (hxxp://search.autocompletepro.com/?si=10203&bi=400&q={searchTerms})
    HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
    HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{8D2A5716-2205-4EB2-8443-03AB6B9F4B3B} - C:\Program Files (x86)\Common Files\Futuremark Shared\Futuremark SystemInfo\FMSIX.exe (Futuremark Corporation)
    HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{D4027C7F-154A-4066-A1AD-4243D8127440} (?)

    ========================================

    C:\Program Files (x86)\Ad-Remover\Quarantine: 69 Fichier(s)
    C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 24/02/2011 22:02:25 (8861 Octet(s))

    Fin à: 22:03:05, 24/02/2011

    ============== E.O.F ==============

    USB Fix :

    ############################## | UsbFix 7.041 | [Recherche]

    Utilisateur: Cedric (Administrateur) # CEDRICPC [System manufacturer System Product Name]
    Mis à jour le 24/02/2011 par TeamXscript
    Lancé à 22:06:05 | 24/02/2011
    Site Web: http://www.teamxscript.org
    Un fichier non reconnu ? : http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Core(TM) i5-2500K CPU @ 3.30GHz
    CPU 2: Intel(R) Core(TM) i5-2500K CPU @ 3.30GHz
    Microsoft Windows 7 Édition Intégrale (6.1.7600 64-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 8172 Mo
    C:\ (%systemdrive%) -> Disque fixe # 46 Go (30 Go libre(s) - 65%) [] # NTFS
    D:\ -> Disque fixe # 931 Go (833 Go libre(s) - 89%) [] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM

    ################## | Éléments infectieux |

    Présent! C:\Users\Cedric\AppData\Roaming\logs.dat
    Présent! C:\Users\Cedric\AppData\Local\Temp\UuU.uUu
    Présent! C:\Users\Cedric\AppData\Local\Temp\XxX.xXx

    ################## | Registre |

    Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoActiveDesktopChanges

    ################## | Mountpoints2 |

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |

    ( Pour infos' j'ai rien brancher étant donnée que la seul clé usb que j'ai mis étais celle de mon oncle en début de semaine est les autres non jamais été branchée sur ce pc ;)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il aurait fallu les brancher pour vérification et surtout pour les vacciner à la deuxième passe. En tout cas la clé de ton oncle doit être infectée.

    Relance AD-Remover et chosis "désinstaller"

    On va faire le nettoyage et la vaccination:
    - Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    - Double clique sur le raccourci UsbFix sur ton Bureau
    - Clique sur "Suppression"
    - Laisse travailler l'outil
    - Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    - A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    /!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !

    Aide en images : "Nettoyage"

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  7. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    Voila le rapport avec une clé usb branchée ( la seul que j'ai chez moi )

    ############################## | UsbFix 7.041 | [Suppression]

    Utilisateur: Cedric (Administrateur) # CEDRICPC [System manufacturer System Product Name]
    Mis à jour le 24/02/2011 par TeamXscript
    Lancé à 22:30:45 | 24/02/2011
    Site Web: http://www.teamxscript.org
    Un fichier non reconnu ? : http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Core(TM) i5-2500K CPU @ 3.30GHz
    CPU 2: Intel(R) Core(TM) i5-2500K CPU @ 3.30GHz
    Microsoft Windows 7 Édition Intégrale (6.1.7600 64-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 8172 Mo
    C:\ (%systemdrive%) -> Disque fixe # 46 Go (30 Go libre(s) - 65%) [] # NTFS
    D:\ -> Disque fixe # 931 Go (833 Go libre(s) - 89%) [] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    G:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [FRAMAKEY] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\Users\Cedric\AppData\Roaming\logs.dat
    Supprimé! C:\Users\Cedric\AppData\Local\Temp\UuU.uUu
    Supprimé! C:\Users\Cedric\AppData\Local\Temp\XxX.xXx
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-4191014807-475382253-3818648607-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1024182635-3858477368-228007307-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1024182635-3858477368-228007307-1003
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1024182635-3858477368-228007307-1004
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1024182635-3858477368-228007307-500
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-4191014807-475382253-3818648607-1000

    ################## | Registre |

    Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoActiveDesktopChanges

    ################## | Mountpoints2 |

    ################## | Listing |

    [24/02/2011 - 22:30:51 | SHD ] C:\$Recycle.Bin
    [19/02/2011 - 14:07:56 | D ] C:\Boot
    [14/07/2009 - 02:38:58 | RASH | 383562] C:\bootmgr
    [19/02/2011 - 14:07:57 | N | 8192] C:\BOOTSECT.BAK
    [14/07/2009 - 06:08:56 | SHD ] C:\Documents and Settings
    [19/02/2011 - 17:22:17 | D ] C:\Fraps
    [19/02/2011 - 14:58:24 | D ] C:\Intel
    [19/02/2011 - 14:53:30 | D ] C:\NVIDIA
    [14/07/2009 - 04:20:08 | D ] C:\PerfLogs
    [19/02/2011 - 17:29:11 | D ] C:\Program Files
    [24/02/2011 - 22:24:53 | D ] C:\Program Files (x86)
    [24/02/2011 - 22:02:41 | HD ] C:\ProgramData
    [19/02/2011 - 14:11:33 | SHD ] C:\Recovery
    [20/02/2011 - 22:42:59 | SHD ] C:\System Volume Information
    [24/02/2011 - 22:31:16 | D ] C:\UsbFix
    [24/02/2011 - 22:30:13 | A | 2513] C:\UsbFix.txt
    [19/02/2011 - 14:11:34 | D ] C:\Users
    [24/02/2011 - 22:13:14 | D ] C:\Windows
    [24/02/2011 - 22:30:51 | SHD ] D:\$RECYCLE.BIN
    [25/01/2011 - 14:45:49 | D ] D:\Battfield bad company 2
    [27/01/2011 - 16:01:24 | D ] D:\BULLY
    [25/01/2011 - 15:52:47 | D ] D:\Call Of Duty Black OPS
    [09/02/2011 - 08:45:29 | D ] D:\Crysis Warhead
    [09/02/2011 - 08:48:01 | D ] D:\Crysis WarheadGoodies
    [06/02/2011 - 16:19:28 | D ] D:\GTA Episode From Liberty City
    [19/02/2011 - 12:02:35 | D ] D:\Just Cause 2
    [09/02/2011 - 10:52:34 | D ] D:\Le Parrain 2
    [19/02/2011 - 13:44:38 | D ] D:\Mafia 2
    [06/02/2011 - 10:54:19 | D ] D:\Medal Of Honor
    [27/01/2011 - 15:24:38 | D ] D:\Microsoft Games
    [19/02/2011 - 17:57:26 | D ] D:\msdownld.tmp
    [20/02/2011 - 19:00:02 | D ] D:\Need for speed hot poursuit
    [08/02/2011 - 16:46:37 | | 8581545984] D:\pagefile.sys
    [05/02/2011 - 13:30:58 | D ] D:\Resident Evil 5
    [23/01/2011 - 15:58:29 | SHD ] D:\System Volume Information
    [24/02/2011 - 22:29:52 | D ] D:\Tékéchargement firefox
    [19/02/2011 - 12:43:10 | D ] D:\Video fraps

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    G:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

    ################## | E.O.F |
    0
  8. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. c'est bon Ton PC et ta clé sont vaccinés et les infections ont été supprimées.

    Refais un scan ZHPDiag et poste le rapport via cijoint

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  9. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    http://www.cijoint.fr/cjlink.php?file=cj201102/cijGpdkHDp.txt
    0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il reste encore des traces:

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    O2 - BHO: SuggestMeYesBHO [64Bits] - {0FB6A909-6086-458F-BD92-1F8EE10042A0} Clé orpheline
    [MD5.00000000000000000000000000000000] [APT] [Scheduled Update for Ask Toolbar] (.Pas de propriétaire.) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe (.not file.)
    [HKCU\Software\HLTCDMS83A]
    O53 - SMSR:HKLM\...\startupreg\CE8SIIFGSU [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Cedric\AppData\Local\Temp\Idr.exe
    O53 - SMSR:HKLM\...\startupreg\Windows Defender [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe
    O53 - SMSR:HKLM\...\startupreg\Windows Live Messenger [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe
    O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Web Search) - http://search.autocompletepro.com
    O4 - Global Startup: C:\Users\Cedric\Desktop\Adobe Photoshop CS5.lnk . (...) -- C:\Program Files (x86)\Adobe\Adobe Photoshop CS5 (64 Bit)\Photoshop.exe (.not file.)
    O4 - Global Startup: C:\Users\Cedric\Desktop\Lecteur DVD.lnk . (...) -- E:\ (.not file.)
    O43 - CFD: 19/02/2011 - 22:39:30 - [3422] ----D- C:\ProgramData\regid.1986-12.com.adobe
    O64 - Services: CurCS - (.not file.) - RTCore64 (RTCore64) .(...) - LEGACY_RTCORE64
    O68 - StartMenuInternet: <aol.exe> <>[HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- \aol.exe (.not file.)

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    0
  11. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-24-02-2011-23-12-11.txt
    Run by Cedric at 24/02/2011 23:12:11
    Windows 7 Ultimate Edition, 64-bit (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} Clé orpheline => Clé non supprimée
    HKCU\Software\HLTCDMS83A => Clé supprimée avec succès
    O53 - SMSR:HKLM\...\startupreg\CE8SIIFGSU [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Cedric\AppData\Local\Temp\Idr.exe => Clé non supprimée
    O53 - SMSR:HKLM\...\startupreg\Windows Defender [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe => Clé non supprimée
    O53 - SMSR:HKLM\...\startupreg\Windows Live Messenger [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe => Clé non supprimée
    O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Web Search) - http://search.autocompletepro.com => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - RTCore64 (RTCore64) .(...) - LEGACY_RTCORE64 => Clé supprimée avec succès

    ========== Elément(s) de donnée du Registre ==========
    O68 - StartMenuInternet: <aol.exe> <>[HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- \aol.exe (.not file.) => Donnée supprimée avec succès

    ========== Dossier(s) ==========
    C:\ProgramData\regid.1986-12.com.adobe => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\program files (x86)\ask.com\updatetask.exe (.not file.) => Fichier absent
    c:\users\cedric\appdata\local\temp\idr.exe => Supprimé et mis en quarantaine
    c:\windows\temp\svchost.exe => Supprimé et mis en quarantaine
    c:\users\cedric\desktop\adobe photoshop cs5.lnk => Supprimé et mis en quarantaine
    c:\users\cedric\desktop\lecteur dvd.lnk => Supprimé et mis en quarantaine
    e:\ (.not file.) => Supprimé et mis en quarantaine

    ========== Tache planifiée ==========
    Task : Scheduled Update for Ask Toolbar => Tâche supprimée avec succès

    ========== Récapitulatif ==========
    7 : Clé(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    6 : Fichier(s)
    1 : Tache planifiée

    End of the scan
    0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Comment se comporte ton PC ? Toujours les redirections vers Gomeo ?

    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  13. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    C'est fait ;)

    Aucun fichier détectée :)

    Voila le rapport :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5873

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    25/02/2011 00:04:10
    mbam-log-2011-02-25 (00-04-10).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 278917
    Temps écoulé: 6 minute(s), 14 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Voilà c'est bon. Tu ne m'as pas dit si tu avais toujours les redirections vers gomeo ?

    Tu vas faire un dernier scan ZHPDiag, poster le rapport via cijoint et
    Ensuite on va passer à la phase finale. il nous reste à faire:
    - les mises à jour prioritaires
    - l'optimisation du PC
    - la désinstallation des outils de désinfection
    - les conseils de prévention quand on surfe sur Internet

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  15. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    Non je n'ai plus les redirection vers Gomeo :)

    EDIT : http://www.cijoint.fr/cjlink.php?file=cj201102/cijlack3C7.txt
    0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il faut poster le rapport via cijoint comme demandé car il est trop long pour être mis dans ta réponse

    Smart
    0
  17. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    Ah oui mince :s

    Voila j'ai éditer le post juste au dessus ;)
    0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Redemarre le PC et refais un scan ZHPdiag et poste le rapport, il y a qq chose qui est toujours présent

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  19. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    Bonjours a toi ,

    Voila donc le rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201102/cijxvnmcB4.txt

    Edit : J'en avais plus hier , mais les redirection vers Goméo sont revenu :(
    0
  20. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu vas faire ceci:

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    O2 - BHO: SuggestMeYesBHO [64Bits] - {0FB6A909-6086-458F-BD92-1F8EE10042A0} Clé orpheline
    O53 - SMSR:HKLM\...\startupreg\CE8SIIFGSU [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Cedric\AppData\Local\Temp\Idr.exe
    O53 - SMSR:HKLM\...\startupreg\Windows Defender [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe
    O53 - SMSR:HKLM\...\startupreg\Windows Live Messenger [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\IKUUOG.job
    [HKCU\Software\VDCIYGRKRL]

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  21. cedric39 Messages postés 297 Date d'inscription   Statut Membre Dernière intervention   9
     
    Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-25-02-2011-11-07-07.txt
    Run by Cedric at 25/02/2011 11:07:07
    Windows 7 Ultimate Edition, 64-bit (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O2 - BHO: SuggestMeYesBHO - {0FB6A909-6086-458F-BD92-1F8EE10042A0} Clé orpheline => Clé non supprimée
    O53 - SMSR:HKLM\...\startupreg\CE8SIIFGSU [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Cedric\AppData\Local\Temp\Idr.exe => Clé non supprimée
    O53 - SMSR:HKLM\...\startupreg\Windows Defender [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe => Clé non supprimée
    O53 - SMSR:HKLM\...\startupreg\Windows Live Messenger [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\Temp\svchost.exe => Clé non supprimée
    HKCU\Software\VDCIYGRKRL => Clé supprimée avec succès

    ========== Fichier(s) ==========
    c:\users\cedric\appdata\local\temp\idr.exe => Supprimé et mis en quarantaine
    c:\windows\temp\svchost.exe => Supprimé et mis en quarantaine
    c:\windows\tasks\ikuuog.job => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    5 : Clé(s) du Registre
    3 : Fichier(s)

    End of the scan
    0
  • 1
  • 2