win32 et XP home security 2011Résolu/Fermé

Question

Bonjour, 

Mon ordinateur a un énorme probleme: Dans l'une des trois sessions je ne peux pas avoir acces a ineternet ni a aucun autre logiciel puisque que win32 n'est pas accecible. De plus, le virus XP home security scane est apparut et je ne sais pas comment l'enlever. J'ai essayé roguekiller mais nous avons acces a internet environ 20 minutes et le virus revient.

Merci de m'aider.


Configuration: Windows XP / Internet Explorer 8.0

moment de grace · Answer

bonjour

poste les rapports de roguekiller stp

BigStar4 · Answer

Enfait, il n'y a que dans la session ou win32 apparait que le virus fait son apparission et roguekiller, mais pas accecible dans celle-ci a cause de win32.

moment de grace · Answer

ok

sur la session malade

renomme roguekiller en firefoxe.exe ou roguekiller.com et relance le 
option 2 puis 4

BigStar4 · Answer

RogueKiller V4.0.1 by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: Émilie [Admin rights] Mode: Remove -- Time : 04/03/2011 17:12:12 Bad processes: 1 [APPDATA/TEMP/DESKTOP] uve.exe -- c:\documents and settings\Émilie\local settings\application data\uve.exe -> KILLED Registry Entries: 2 [FILE ASSO] HKCU\Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\Émilie\Local Settings\Application Data\uve.exe" -a "%1" %*) -> REPLACED : ("%1" %*) [FILE ASSO] HKCU\Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\Émilie\Local Settings\Application Data\uve.exe" -a "%1" %*) -> REPLACED : ("%1" %*) HOSTS File: 127.0.0.1 localhost Finished RogueKiller V4.0.1 by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: Émilie [Admin rights] Mode: ProxyFix -- Time : 04/03/2011 17:12:32 Bad processes: 0 Registry Entries: 0 Finished Voici le 2 et 4.

moment de grace · Answer

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

BigStar4 · Answer

J'ai réussi à me débarasser de ce virus (merci de ton aide), mais un autre problème subsiste: mon ordi est super lente depuis ce virus. J'ai essayer de la restaurer antérieurement, mais le maximum de temps que je peux reculer est quelques heures avant que le virus soit entré dans mon ordi. Quand je veux restaurer à cette date, la restauration ne se fait pas. Un message apparaît lorsque j'ouvre une session et ça dit que la restauration n'a pu être completée.

juju666 · Answer

Salut,

Moment de grace est absent actuellement, je vais continuer avec toi ;)

Pourquoi restaurer son système ?! Tu veux relancer l'infection ?

Poste le rapport de malwarebytes' si tu l'as toujours (onglet rapport/log dans malwarebytes)

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

@+

BigStar4 · Answer

Voici le raport:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Database version: 6006

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-03-09 19:27:40
mbam-log-2011-03-09 (19-27-40).txt

Scan type: Quick scan
Objects scanned: 219880
Time elapsed: 25 minute(s), 26 second(s)

Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 1
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
c:\documents and settings\localservice\local settings\application data\opp.exe (Trojan.FakeAlert) -> 2644 -> Unloaded process successfully.

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: () Good: ("%1" %*) -> Quarantined and deleted successfully.

Folders Infected:
(No malicious items detected)

Files Infected:
c:\documents and settings\localservice\local settings\application data\opp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\jar_cache4883988038831604624.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

juju666 · Answer

Ok 

==> ZHPDiag stp

BigStar4 · Answer

Il m'ai inpossible de l'envoiller. Quand je fait envoiller il est écrit: Internet ne peut pas afficher cette pasge Web.

juju666 · Answer

Ok

&#9654 Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau  
&#9654 Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit  
dessus, et sur exécuter en tant qu'administrateur)  
&#9654 Clique sur Start Scan  
&#9654 Si l'outil a trouvé des éléments, choisi Cure,   
puis sur Reboot Now  
&#9654 Le PC va redémarrer, et un rapport va s'ouvrir  
&#9654 Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer  
N° de version_Date_Heure_log.txt)  

@+

BigStar4 · Answer

2011/03/10 16:07:36.0218 0200	TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28
2011/03/10 16:07:36.0312 0200	================================================================================
2011/03/10 16:07:36.0312 0200	SystemInfo:
2011/03/10 16:07:36.0312 0200	
2011/03/10 16:07:36.0312 0200	OS Version: 5.1.2600 ServicePack: 3.0
2011/03/10 16:07:36.0312 0200	Product type: Workstation
2011/03/10 16:07:36.0312 0200	ComputerName: PC-1
2011/03/10 16:07:36.0312 0200	UserName: Émilie
2011/03/10 16:07:36.0312 0200	Windows directory: C:\WINDOWS
2011/03/10 16:07:36.0312 0200	System windows directory: C:\WINDOWS
2011/03/10 16:07:36.0312 0200	Processor architecture: Intel x86
2011/03/10 16:07:36.0312 0200	Number of processors: 2
2011/03/10 16:07:36.0312 0200	Page size: 0x1000
2011/03/10 16:07:36.0312 0200	Boot type: Normal boot
2011/03/10 16:07:36.0312 0200	================================================================================
2011/03/10 16:07:36.0421 0200	Initialize success
2011/03/10 16:07:39.0875 2632	================================================================================
2011/03/10 16:07:39.0875 2632	Scan started
2011/03/10 16:07:39.0875 2632	Mode: Manual; 
2011/03/10 16:07:39.0875 2632	================================================================================
2011/03/10 16:07:40.0218 2632	Aavmker4        (83631291adf2887cffc786d034d3fa15) C:\WINDOWS\system32\drivers\Aavmker4.sys
2011/03/10 16:07:40.0328 2632	ACPI            (e5e6dbfc41ea8aad005cb9a57a96b43b) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/03/10 16:07:40.0390 2632	ACPIEC          (e4abc1212b70bb03d35e60681c447210) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/03/10 16:07:40.0500 2632	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/03/10 16:07:40.0562 2632	Afc             (fe3ea6e9afc1a78e6edca121e006afb7) C:\WINDOWS\system32\drivers\Afc.sys
2011/03/10 16:07:40.0640 2632	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/03/10 16:07:40.0828 2632	aswFsBlk        (1c2e6bb4fe8621b1b863855b02bc33eb) C:\WINDOWS\system32\drivers\aswFsBlk.sys
2011/03/10 16:07:40.0859 2632	aswMon2         (452d0ecd14fa02f9b061f42c8a30dd49) C:\WINDOWS\system32\drivers\aswMon2.sys
2011/03/10 16:07:40.0875 2632	aswRdr          (b6a9373619d851be80fb5f1b5eed0d4e) C:\WINDOWS\system32\drivers\aswRdr.sys
2011/03/10 16:07:40.0937 2632	aswSnx          (9be41c1ae8bc481eb662d85c98d979c2) C:\WINDOWS\system32\drivers\aswSnx.sys
2011/03/10 16:07:41.0031 2632	aswSP           (4b1a54ba2bc5873a774df6b70ab8b0b3) C:\WINDOWS\system32\drivers\aswSP.sys
2011/03/10 16:07:41.0062 2632	aswTdi          (c7f1cea32766184911293f4e1ee653f5) C:\WINDOWS\system32\drivers\aswTdi.sys
2011/03/10 16:07:41.0109 2632	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/03/10 16:07:41.0171 2632	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\drivers\atapi.sys
2011/03/10 16:07:41.0218 2632	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/03/10 16:07:41.0265 2632	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/03/10 16:07:41.0312 2632	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/03/10 16:07:41.0390 2632	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/03/10 16:07:41.0484 2632	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/03/10 16:07:41.0593 2632	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/03/10 16:07:41.0656 2632	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/03/10 16:07:41.0859 2632	ctljystk        (71007bd2e1e26927fe3e4eb00c0beedf) C:\WINDOWS\system32\DRIVERS\ctljystk.sys
2011/03/10 16:07:42.0015 2632	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/03/10 16:07:42.0093 2632	dmboot          (f5deadd42335fb33edca74ecb2f36cba) C:\WINDOWS\system32\drivers\dmboot.sys
2011/03/10 16:07:42.0109 2632	dmio            (5a7c47c9b3f9fb92a66410a7509f0c71) C:\WINDOWS\system32\drivers\dmio.sys
2011/03/10 16:07:42.0140 2632	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/03/10 16:07:42.0171 2632	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/03/10 16:07:42.0265 2632	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/03/10 16:07:42.0312 2632	DrvAgent32      (651554e483712b708ede864d0ca1aa73) C:\WINDOWS\system32\Drivers\DrvAgent32.sys
2011/03/10 16:07:42.0359 2632	e1express       (c31a349d80ab6e8e9a54d3899c864823) C:\WINDOWS\system32\DRIVERS\e1e5132.sys
2011/03/10 16:07:42.0437 2632	emu10k          (01f83e1b5dce05f5cb7d99113ca9e890) C:\WINDOWS\system32\drivers\emu10k1m.sys
2011/03/10 16:07:42.0531 2632	emu10k1         (7ffa171cce6a8bfc774862a578ba39a2) C:\WINDOWS\system32\drivers\ctlfacem.sys
2011/03/10 16:07:42.0640 2632	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/03/10 16:07:42.0687 2632	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/03/10 16:07:42.0765 2632	Fips            (31f923eb2170fc172c81abda0045d18c) C:\WINDOWS\system32\drivers\Fips.sys
2011/03/10 16:07:42.0781 2632	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/03/10 16:07:42.0828 2632	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys
2011/03/10 16:07:42.0875 2632	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/03/10 16:07:42.0890 2632	Ftdisk          (a86859b77b908c18c2657f284aa29fe3) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/03/10 16:07:43.0265 2632	gameenum        (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/03/10 16:07:43.0328 2632	GEARAspiWDM     (8182ff89c65e4d38b2de4bb0fb18564e) C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
2011/03/10 16:07:43.0375 2632	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/03/10 16:07:43.0421 2632	hamachi         (833051c6c6c42117191935f734cfbd97) C:\WINDOWS\system32\DRIVERS\hamachi.sys
2011/03/10 16:07:43.0531 2632	HDAudBus        (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
2011/03/10 16:07:43.0578 2632	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/03/10 16:07:43.0640 2632	HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/03/10 16:07:43.0718 2632	i8042prt        (a09bdc4ed10e3b2e0ec27bb94af32516) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/03/10 16:07:43.0984 2632	ialm            (3b743262b6456167888d15f1121b3bf7) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
2011/03/10 16:07:44.0140 2632	iaStor          (d483687eace0c065ee772481a96e05f5) C:\WINDOWS\system32\drivers\iaStor.sys
2011/03/10 16:07:44.0187 2632	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/03/10 16:07:44.0265 2632	intelppm        (ad340800c35a42d4de1641a37feea34c) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/03/10 16:07:44.0312 2632	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
2011/03/10 16:07:44.0375 2632	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/03/10 16:07:44.0468 2632	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/03/10 16:07:44.0484 2632	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/03/10 16:07:44.0500 2632	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/03/10 16:07:44.0546 2632	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/03/10 16:07:44.0609 2632	isapnp          (355836975a67b6554bca60328cd6cb74) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/03/10 16:07:44.0656 2632	Kbdclass        (16813155807c6881f4bfbf6657424659) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/03/10 16:07:44.0750 2632	kbdhid          (94c59cb884ba010c063687c3a50dce8e) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/03/10 16:07:44.0796 2632	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/03/10 16:07:44.0843 2632	KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/03/10 16:07:44.0921 2632	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/03/10 16:07:45.0062 2632	Modem           (510ade9327fe84c10254e1902697e25f) C:\WINDOWS\system32\drivers\Modem.sys
2011/03/10 16:07:45.0109 2632	Mouclass        (027c01bd7ef3349aaebc883d8a799efb) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/03/10 16:07:45.0171 2632	mouhid          (124d6846040c79b9c997f78ef4b2a4e5) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/03/10 16:07:45.0187 2632	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/03/10 16:07:45.0203 2632	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/03/10 16:07:45.0250 2632	MRxSmb          (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/03/10 16:07:45.0343 2632	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/03/10 16:07:45.0421 2632	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/03/10 16:07:45.0468 2632	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/03/10 16:07:45.0484 2632	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/03/10 16:07:45.0531 2632	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/03/10 16:07:45.0546 2632	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/03/10 16:07:45.0687 2632	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/03/10 16:07:45.0718 2632	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS
distapi.sys
2011/03/10 16:07:45.0765 2632	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS
disuio.sys
2011/03/10 16:07:45.0812 2632	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS
diswan.sys
2011/03/10 16:07:45.0875 2632	NDProxy         (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/03/10 16:07:45.0890 2632	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS
etbios.sys
2011/03/10 16:07:45.0906 2632	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS
etbt.sys
2011/03/10 16:07:45.0937 2632	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/03/10 16:07:46.0046 2632	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/03/10 16:07:46.0078 2632	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/03/10 16:07:46.0156 2632	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS
wlnkflt.sys
2011/03/10 16:07:46.0187 2632	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS
wlnkfwd.sys
2011/03/10 16:07:46.0234 2632	Parport         (8fd0bdbea875d06ccf6c945ca9abaf75) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/03/10 16:07:46.0265 2632	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/03/10 16:07:46.0281 2632	ParVdm          (9575c5630db8fb804649a6959737154c) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/03/10 16:07:46.0343 2632	PCI             (043410877bda580c528f45165f7125bc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/03/10 16:07:46.0453 2632	Pcmcia          (f0406cbc60bdb0394a0e17ffb04cdd3d) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/03/10 16:07:46.0531 2632	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERSaspptp.sys
2011/03/10 16:07:46.0578 2632	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/03/10 16:07:46.0625 2632	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/03/10 16:07:46.0671 2632	PxHelp20        (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/03/10 16:07:46.0734 2632	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERSasacd.sys
2011/03/10 16:07:46.0765 2632	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERSasl2tp.sys
2011/03/10 16:07:46.0781 2632	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERSaspppoe.sys
2011/03/10 16:07:46.0781 2632	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERSaspti.sys
2011/03/10 16:07:46.0828 2632	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERSdbss.sys
2011/03/10 16:07:46.0890 2632	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/03/10 16:07:46.0953 2632	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERSdpdr.sys
2011/03/10 16:07:47.0015 2632	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/03/10 16:07:47.0062 2632	redbook         (d8eb2a7904db6c916eb5361878ddcbae) C:\WINDOWS\system32\DRIVERSedbook.sys
2011/03/10 16:07:47.0125 2632	RT25USBAP       (9c377dbf9d2d19098db935dc1e8361a3) C:\WINDOWS\system32\DRIVERSt25usbap.sys
2011/03/10 16:07:47.0171 2632	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/03/10 16:07:47.0218 2632	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/03/10 16:07:47.0234 2632	Serial          (93d313c31f7ad9ea2b75f26075413c7c) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/03/10 16:07:47.0250 2632	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/03/10 16:07:47.0296 2632	sfman           (0b1a5e9cacb5cdd54a2815107bd7c772) C:\WINDOWS\system32\drivers\sfmanm.sys
2011/03/10 16:07:47.0359 2632	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/03/10 16:07:47.0421 2632	sr              (39626e6dc1fb39434ec40c42722b660a) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/03/10 16:07:47.0453 2632	Srv             (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/03/10 16:07:47.0484 2632	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/03/10 16:07:47.0500 2632	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/03/10 16:07:47.0593 2632	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/03/10 16:07:47.0656 2632	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS	cpip.sys
2011/03/10 16:07:47.0687 2632	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/03/10 16:07:47.0734 2632	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/03/10 16:07:47.0781 2632	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS	ermdd.sys
2011/03/10 16:07:47.0859 2632	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/03/10 16:07:47.0921 2632	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/03/10 16:07:48.0000 2632	USBAAPL         (4b8a9c16b6d9258ed99c512aecb8c555) C:\WINDOWS\system32\Drivers\usbaapl.sys
2011/03/10 16:07:48.0031 2632	usbccgp         (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/03/10 16:07:48.0093 2632	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/03/10 16:07:48.0109 2632	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/03/10 16:07:48.0109 2632	usbprint        (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
2011/03/10 16:07:48.0156 2632	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/03/10 16:07:48.0203 2632	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/03/10 16:07:48.0234 2632	usbuhci         (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/03/10 16:07:48.0250 2632	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/03/10 16:07:48.0281 2632	VolSnap         (46de1126684369bace4849e4fc8c43ca) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/03/10 16:07:48.0296 2632	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/03/10 16:07:48.0359 2632	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/03/10 16:07:48.0421 2632	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/03/10 16:07:48.0468 2632	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/03/10 16:07:48.0515 2632	\HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/03/10 16:07:48.0515 2632	================================================================================
2011/03/10 16:07:48.0515 2632	Scan finished
2011/03/10 16:07:48.0515 2632	================================================================================
2011/03/10 16:07:48.0531 3788	Detected object count: 1

juju666 · Answer

2011/03/10 16:07:48.0515 2632 \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0)
2011/03/10 16:07:48.0515 2632 ================================================================================
2011/03/10 16:07:48.0515 2632 Scan finished
2011/03/10 16:07:48.0515 2632 ================================================================================
2011/03/10 16:07:48.0531 3788 Detected object count: 1

? Si l'outil a trouvé des éléments, choisi Cure,
puis sur Reboot Now 

à refaire :)

BigStar4 · Answer

Il na pas trouver de fichier inficté donc j'ai réessailler d'envoyer le raport et sa a marcher :)

juju666 · Answer

2011/03/10 16:07:48.0515 2632 \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4

2011/03/10 16:07:48.0531 3788 Detected object count: 1 

donc si, infecté ^^

Mais si tu as pu envoyer ton rapport tu as supprimé l'objet ;)

Allé montre moi voir les entrailles de ta machine, poste le lien vers ton rapport :P

BigStar4 · Answer

https://pjjoint.malekal.com/files.php?read=797755cc09108&html=on

Ceci ?

juju666 · Answer

Yep :) Tu as installé spyhunter :\ lis ça : https://forum.malekal.com/viewtopic.php?t=12847&start= tu vas comprendre =) Allé le grand ménage: ▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) [HKCU\Software\PriceGong] O53 - SMSR:HKLM\...\startupreg\SpyHunter Security Suite [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe O64 - Services: CurCS - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe (.not file.) - SpyHunter 4 Service (SpyHunter 4 Service) .(...) - LEGACY_SPYHUNTER_4_SERVICE O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe SS - | Auto 2010-04-28 0 | (SpyHunter 4 Service) . (...) - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab [Pays - ] O23 - Service: (abafecafbbcdf) - Clé orpheline O23 - Service: (eababaeeefda) - Clé orpheline O23 - Service: (NMIndexingService) - Clé orpheline O23 - Service: (SpyHunter 4 Service) - Clé orpheline O41 - Driver: (cexnbrd) . (. - .) - C:\WINDOWS\system32\drivers\cexnbrd.sys (.not file.) [HKCU\Software\ConduitEngine] O43 - CFD: 2011-01-04 - 11:36:28 - [35294] ----D- C:\Documents and Settings\Émilie\Local Settings\Application Data\ConduitEngine O64 - Services: CurCS - (.not file.) - 508c8fd0 (508c8fd0) .(...) - LEGACY_508C8FD0 O64 - Services: CurCS - C:\WINDOWS\abafecafbbcdf.exe (.not file.) - 0121d81291a27c0dcb6f89c42adf05besv (abafecafbbcdf) .(...) - LEGACY_ABAFECAFBBCDF O64 - Services: CurCS - C:\WINDOWS\system32\drivers\cexnbrd.sys (.not file.) - cexnbrd (cexnbrd) .(...) - LEGACY_CEXNBRD O64 - Services: CurCS - C:\WINDOWS\eababaeeefda.exe (.not file.) - 0121d81291a27c0dcb6f89c42adf05besa (eababaeeefda) .(...) - LEGACY_EABABAEEEFDA O64 - Services: CurCS - C:\WINDOWS\system32\drivers\EagleXNt.sys (.not file.) - EagleXNt (EagleXNt) .(...) - LEGACY_EAGLEXNT O64 - Services: CurCS - (.not file.) - fbca (fbca) .(...) - LEGACY_FBCA O64 - Services: CurCS - C:\WINDOWS\system32 pkakl.sys (.not file.) - npkakl (npkakl) .(...) - LEGACY_NPKAKL O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Local Settings\Application Data th.exe (.not file.) O2 - BHO: Messenger Plus Live CA-EN - {437c4386-9237-441f-a940-009430030ee0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_CA-EN bMes1.dll O2 - BHO: MovieBario Toolbar - {58beca16-cae6-4b7a-a0e8-153d0cbba63a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\MovieBario bMovi.dll O3 - Toolbar: Messenger Plus Live CA-EN Toolbar - {437c4386-9237-441f-a940-009430030ee0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_CA-EN bMes1.dll O3 - Toolbar: MovieBario Toolbar - {58beca16-cae6-4b7a-a0e8-153d0cbba63a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\MovieBario bMovi.dll O9 - Extra button: Free software Gooofull toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Anime Studio 5.5\mybarnsj7C.tmp\favicon.ico O42 - Logiciel: Messenger_Plus_Live_CA-EN Toolbar - (.Pas de propriétaire.) [HKLM] -- Messenger_Plus_Live_CA-EN Toolbar [HKCU\Software\Ask&Record] [HKCU\Software\Conduit] [HKCU\Software\Messenger_Plus_Live_CA-EN] [HKLM\Software\Messenger_Plus_Live_CA-EN] O43 - CFD: 2010-11-09 - 16:05:28 - [13828702] ----D- C:\Program Files\Messenger_Plus_Live_CA-EN O43 - CFD: 2010-03-09 - 20:01:40 - [568256] ----D- C:\Program Files\RadioBar O43 - CFD: 2010-09-16 - 17:25:46 - [17591] ----D- C:\Documents and Settings\Émilie\Local Settings\Application Data\Conduit O43 - CFD: 2010-06-20 - 16:10:56 - [3118255] ----D- C:\Documents and Settings\Émilie\Local Settings\Application Data\Messenger_Plus_Live_CA-EN O16 - DPF: {7623BE59-D4CF-4379-ABC4-B39E11854D66} (MabinogiWebAvatarRenderer Class) - http://nxcache.nexon.net/mabinogi/renderer/mabiweb.2010.5.03.cab [PaysUS - 93.188.131.141] O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Game_Booster_Startup.job O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\OBIQXS.job [HKLM\Software\gnaaxoj] O67 - Shell Spawning: <.exe> exefile[HKLM\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\LocalService\Local Settings\Application Data\opp.exe O67 - Shell Spawning: <.exe> exefile[HKU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\LocalService\Local Settings\Application Data\opp.exe SS - | Auto 0 | C:\WINDOWS\abafecafbbcdf.exe (abafecafbbcdf) . (...) - C:\WINDOWS\abafecafbbcdf.exe SS - | Auto 2008-04-13 0 | C:\WINDOWS\eababaeeefda.exe (eababaeeefda) . (...) - C:\WINDOWS\eababaeeefda.exe O16 - DPF: {A4508A45-F1C4-40F3-99B4-0CA08AC77E3B} (Kdfense8 Control) - http://download.netmarble.net/kdefence/kdfense8237.cab [Pays - 220.73.216.11] EMPTYTEMP EMPTYFLASH ▶ Puis Lance ZHPFix depuis le raccourci du bureau . ▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . ▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . ▶ Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. ▶ Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". ▶ Copie/Colle le rapport à l'écran dans ton prochain message ▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt) @+

BigStar4 · Answer

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011 Fichier d'export Registre : C:\ZHPExportRegistry-2011-03-10-17-24-46.txt Run by Émilie at 2011-03-10 17:24:46 Windows XP Professional Service Pack 3 (Build 2600) Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr ========== Clé(s) du Registre ========== O42 - Logiciel: Messenger_Plus_Live_CA-EN Toolbar - (.Pas de propriétaire.) [HKLM] -- Messenger_Plus_Live_CA-EN Toolbar => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle! HKCU\Software\PriceGong => Clé supprimée avec succès O53 - SMSR:HKLM\...\startupreg\SpyHunter Security Suite [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter4.exe => Clé supprimée avec succès O64 - Services: CurCS - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe (.not file.) - SpyHunter 4 Service (SpyHunter 4 Service) .(...) - LEGACY_SPYHUNTER_4_SERVICE => Clé supprimée avec succès SS - | Auto 2010-04-28 0 | (SpyHunter 4 Service) . (...) - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe => Clé non supprimée O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab [Pays - ] => Clé supprimée avec succès [HKLM\SOFTWARE\Classes\CLSID\{4871A87A-BFDD-4106-8153-FFDE2BAC2967}] => Clé supprimée avec succès [HKCR\CLSID\{4871A87A-BFDD-4106-8153-FFDE2BAC2967}] => Clé supprimée avec succès O23 - Service: (abafecafbbcdf) - Clé orpheline => Clé non supprimée O23 - Service: (eababaeeefda) - Clé orpheline => Clé non supprimée O23 - Service: (NMIndexingService) - Clé orpheline => Clé non supprimée O23 - Service: (SpyHunter 4 Service) - Clé orpheline => Clé non supprimée O41 - Driver: (cexnbrd) . (. - .) - C:\WINDOWS\system32\drivers\cexnbrd.sys (.not file.) => Clé supprimée avec succès HKCU\Software\ConduitEngine => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - 508c8fd0 (508c8fd0) .(...) - LEGACY_508C8FD0 => Clé supprimée avec succès O64 - Services: CurCS - C:\WINDOWS\abafecafbbcdf.exe (.not file.) - 0121d81291a27c0dcb6f89c42adf05besv (abafecafbbcdf) .(...) - LEGACY_ABAFECAFBBCDF => Clé supprimée avec succès O64 - Services: CurCS - C:\WINDOWS\system32\drivers\cexnbrd.sys (.not file.) - cexnbrd (cexnbrd) .(...) - LEGACY_CEXNBRD => Clé supprimée avec succès O64 - Services: CurCS - C:\WINDOWS\eababaeeefda.exe (.not file.) - 0121d81291a27c0dcb6f89c42adf05besa (eababaeeefda) .(...) - LEGACY_EABABAEEEFDA => Clé supprimée avec succès O64 - Services: CurCS - C:\WINDOWS\system32\drivers\EagleXNt.sys (.not file.) - EagleXNt (EagleXNt) .(...) - LEGACY_EAGLEXNT => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - fbca (fbca) .(...) - LEGACY_FBCA => Clé supprimée avec succès O64 - Services: CurCS - C:\WINDOWS\system32 pkakl.sys (.not file.) - npkakl (npkakl) .(...) - LEGACY_NPKAKL => Clé supprimée avec succès O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Local Settings\Application Data th.exe (.not file.) => Clé absente O2 - BHO: Messenger Plus Live CA-EN - {437c4386-9237-441f-a940-009430030ee0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_CA-EN bMes1.dll => Clé supprimée avec succès [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{437c4386-9237-441f-a940-009430030ee0}] => Clé supprimée avec succès [HKCR\CLSID\{437c4386-9237-441f-a940-009430030ee0}] => Clé supprimée avec succès O2 - BHO: MovieBario Toolbar - {58beca16-cae6-4b7a-a0e8-153d0cbba63a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\MovieBario bMovi.dll => Clé supprimée avec succès [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{58beca16-cae6-4b7a-a0e8-153d0cbba63a}] => Clé supprimée avec succès [HKCR\CLSID\{58beca16-cae6-4b7a-a0e8-153d0cbba63a}] => Clé supprimée avec succès O9 - Extra button: Free software Gooofull toolbar - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Anime Studio 5.5\mybarnsj7C.tmp\favicon.ico => Clé supprimée avec succès [HKLM\SOFTWARE\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}] => Clé supprimée avec succès [HKCR\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}] => Clé supprimée avec succès HKCU\Software\Ask&Record => Clé supprimée avec succès HKCU\Software\Conduit => Clé supprimée avec succès HKCU\Software\Messenger_Plus_Live_CA-EN => Clé supprimée avec succès HKLM\Software\Messenger_Plus_Live_CA-EN => Clé supprimée avec succès O16 - DPF: {7623BE59-D4CF-4379-ABC4-B39E11854D66} (MabinogiWebAvatarRenderer Class) - http://nxcache.nexon.net/mabinogi/renderer/mabiweb.2010.5.03.cab [PaysUS - 93.188.131.141] => Clé supprimée avec succès [HKLM\SOFTWARE\Classes\CLSID\{7623BE59-D4CF-4379-ABC4-B39E11854D66}] => Clé supprimée avec succès [HKCR\CLSID\{7623BE59-D4CF-4379-ABC4-B39E11854D66}] => Clé supprimée avec succès HKLM\Software\gnaaxoj => Clé supprimée avec succès O67 - Shell Spawning: <.exe> exefile[HKLM\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\LocalService\Local Settings\Application Data\opp.exe => Clé absente O67 - Shell Spawning: <.exe> exefile[HKU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\LocalService\Local Settings\Application Data\opp.exe => Clé absente SS - | Auto 0 | C:\WINDOWS\abafecafbbcdf.exe (abafecafbbcdf) . (...) - C:\WINDOWS\abafecafbbcdf.exe => Clé non supprimée SS - | Auto 2008-04-13 0 | C:\WINDOWS\eababaeeefda.exe (eababaeeefda) . (...) - C:\WINDOWS\eababaeeefda.exe => Clé non supprimée O16 - DPF: {A4508A45-F1C4-40F3-99B4-0CA08AC77E3B} (Kdfense8 Control) - http://download.netmarble.net/kdefence/kdfense8237.cab [Pays - 220.73.216.11] => Clé supprimée avec succès [HKLM\SOFTWARE\Classes\CLSID\{A4508A45-F1C4-40F3-99B4-0CA08AC77E3B}] => Clé supprimée avec succès [HKCR\CLSID\{A4508A45-F1C4-40F3-99B4-0CA08AC77E3B}] => Clé supprimée avec succès ========== Valeur(s) du Registre ========== O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente O3 - Toolbar: Messenger Plus Live CA-EN Toolbar - {437c4386-9237-441f-a940-009430030ee0} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus_Live_CA-EN bMes1.dll => Valeur supprimée avec succès O3 - Toolbar: MovieBario Toolbar - {58beca16-cae6-4b7a-a0e8-153d0cbba63a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\MovieBario bMovi.dll => Valeur supprimée avec succès ========== Dossier(s) ========== Dossiers Flash Cookies supprimés : 343 ========== Fichier(s) ========== Fichiers Flash Cookies supprimés : 185 ========== Récapitulatif ========== 46 : Clé(s) du Registre 4 : Valeur(s) du Registre 1 : Dossier(s) 1 : Fichier(s) End of the scan

juju666 · Answer

Voilà :]

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Exécuter List_Kill'em

une fois terminée , clic sur "terminer" 

lance-le via le raccourci apparu sur ton bureau comme précité au début 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

++

BigStar4 · Answer

­­''contenu du rapport qui s'ouvre aux 100 %'' ne s'ouvre pas est je ne comprand pas pourquoi. Par contre deux .txt sont apparu sur le bureau: List'em et More

juju666 · Answer

Envoie moi les deux txt, ferme list'em.

moment de grace · Answer

hello

de retour

bon travail juju...je te laisse continuer

(sourire)

juju666 · Answer

yo mdg

j'ai assez de topik, si tu veux continuer, après tout c'est ton sujet :)

@+

juju666 · Answer

fallait héberger le rapport mais bref


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta réponse 

++

BigStar4 · Answer

l'option clean c'est quelle option en français ?

juju666 · Answer

oups 

c est Suppression

BigStar4 · Answer

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Émilie (Utilisateurs) 
Update on 10/03/2011 by g3n-h@ckm@n ::::: 08.40
Start at: 13:52:19 | 2011-03-11

Intel(R) Core(TM)2 Duo CPU     E6550  @ 2.33GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Disabled
AV : avast! Antivirus 5.0.100664296 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 74,52 Go (3,7 Go free) | NTFS
D:\ -> Disque amovible
 
Killed : PID 2480 'iexplore.exe'
Killed : PID 2480 'iexplore.exe'
Killed : PID 2756 'iexplore.exe'
Killed : PID 4076 'explorer.exe'
Killed : PID 4076 'explorer.exe'
 

¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers 

Mis en quarantaine : \AUTOEXEC.BAT   
Mis en quarantaine : C:\WINDOWS\SET3.tmp   
Mis en quarantaine : C:\WINDOWS\SET4.tmp   
Mis en quarantaine : C:\WINDOWS\SET8.tmp   
Mis en quarantaine : C:\WINDOWS\System32\devcon32.dll    
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

C:\WINDOWS\System32\Drivers\etc\hosts
127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤

Suppression : HKCR\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0}    
Suppression : HKCR\Typelib\{4509d3cc-b642-4745-b030-645b79522c6d}    

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio -> Start = 3   
 EapHost -> Start = 2   
 Ip6Fw -> Start = 2   
 SharedAccess -> Start = 2   
 wuauserv -> Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	=      	1 (0x1) 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\WINDOWS\System32\userinit.exe, 
 VMapplet	=         	rundll32 shell32,Control_RunDLL sysdm.cpl 
 System	=         	 
 PowerdownAfterShutdown	=         	1 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

TDSS | svchost | Internet Explorer: 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Hitachi_ rev.P21O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys hal.dll 
C:\WINDOWS\system32\drivers\iaStor.sys Intel Corporation Intel Matrix Storage Manager driver
1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x89DACAB8]
3 CLASSPNP[0xBA0E8FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IAAStorageDevice-1[0x897F7028]
kernel: MBR read successfully
user & kernel MBR OK 


Fin du Nettoyage : 13:58:44

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

ok vu
j'ai fait un peu de ménage ^^'

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

++

BigStar4 · Answer

https://pjjoint.malekal.com/files.php?id=9c35be29a1515

juju666 · Answer

tu m'as mis un rapport de zhpfix, relis ce que j'ai demandé

BigStar4 · Answer

Désolé le voici :
https://pjjoint.malekal.com/files.php?read=0a39880df157&html=on

juju666 · Answer

Désinstalle spy hunter, c est limite ce truc, voir : https://forum.malekal.com/viewtopic.php?t=12847&start= ▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) O23 - Service: (abafecafbbcdf) - Clé orpheline O23 - Service: (eababaeeefda) - Clé orpheline O23 - Service: (NMIndexingService) - Clé orpheline O23 - Service: (SpyHunter 4 Service) - Clé orpheline O41 - Driver: (cexnbrd) . (. - .) - C:\WINDOWS\system32\drivers\cexnbrd.sys (.not file.) O42 - Logiciel: Messenger_Plus_Live_CA-EN Toolbar - (.Pas de propriétaire.) [HKLM] -- Messenger_Plus_Live_CA-EN Toolbar O44 - LFC:[MD5.7C58935BD92D9C660B13B1A1B33A995A] - 2011-02-17 - 20:25:14 ---A- . (...) -- C:\dlcxscan.log [3427] O44 - LFC:[MD5.41099EF7EF85E1F17ABB19A09DD062AA] - 2011-03-05 - 10:57:25 ---A- . (...) -- C:\dlcx.log [401] O47 - AAKE:Key Export SP - C:\Documents and Settings\Olivier\Bureau\Flyff\Neuz.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Bureau\Flyff\Neuz.exe (.not file.) O47 - AAKE:Key Export SP - C:\Documents and Settings\Olivier\Bureau\Server Files euz.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Bureau\Server Files euz.exe (.not file.) O47 - AAKE:Key Export SP - C:\Documents and Settings\Olivier\Bureau\XtacyFlyff euz.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Bureau\XtacyFlyff euz.exe (.not file.) O47 - AAKE:Key Export SP - C:\Documents and Settings\Olivier\Bureau\Flyff\itak.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Bureau\Flyff\itak.exe (.not file.) O47 - AAKE:Key Export SP - C:\Program Files\LuckyWire\LuckyWire.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\LuckyWire\LuckyWire.exe (.not file.) O47 - AAKE:Key Export SP - C:\WINDOWS\system32 undll32.exe [Enabled] Clé orpheline O51 - MPSK:{86437dd8-ec9f-11de-8c99-001e903936a6}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\MI.exe (.not file.) O51 - MPSK:{9b05c22e-109a-11e0-8e92-001e903936a6}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\Setup_FlipShare.exe (.not file.) O52 - TDSD: \drivers.desc\ir50_32.dll=Indeo® video 5.10 . (.Pas de propriétaire - Pas de description.) -- (.not file.) O52 - TDSD: \drivers.desc\DivX.dll=DivX 6.9.2 Codec . (.Pas de propriétaire - Pas de description.) -- (.not file.) O52 - TDSD: \drivers.desc\3ivxVfWCodec.dll=3ivx MPEG-4 5.0.3 . (.Pas de propriétaire - Pas de description.) -- (.not file.) O64 - Services: CurCS - C:\WINDOWS\abafecafbbcdf.exe (.not file.) - 0121d81291a27c0dcb6f89c42adf05besv (abafecafbbcdf) .(...) - LEGACY_ABAFECAFBBCDF O64 - Services: CurCS - C:\WINDOWS\eababaeeefda.exe (.not file.) - 0121d81291a27c0dcb6f89c42adf05besa (eababaeeefda) .(...) - LEGACY_EABABAEEEFDA O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Local Settings\Application Data th.exe (.not file.) SS - | Auto 0 | C:\WINDOWS\abafecafbbcdf.exe (abafecafbbcdf) . (...) - C:\WINDOWS\abafecafbbcdf.exe SS - | Auto 2008-04-13 0 | C:\WINDOWS\eababaeeefda.exe (eababaeeefda) . (...) - C:\WINDOWS\eababaeeefda.exe O67 - Shell Spawning: <.exe> exefile[HKLM\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\LocalService\Local Settings\Application Data\opp.exe O67 - Shell Spawning: <.exe> exefile[HKU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\LocalService\Local Settings\Application Data\opp.exe ▶ Puis Lance ZHPFix depuis le raccourci du bureau . ▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . ▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . ▶ Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. ▶ Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". ▶ Copie/Colle le rapport à l'écran dans ton prochain message ▶ (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt) @+

BigStar4 · Answer

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011 Fichier d'export Registre : C:\ZHPExportRegistry-2011-03-11-14-52-40.txt Run by Émilie at 2011-03-11 14:52:40 Windows XP Professional Service Pack 3 (Build 2600) Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr ========== Clé(s) du Registre ========== O23 - Service: (abafecafbbcdf) - Clé orpheline => Clé supprimée avec succès O23 - Service: (eababaeeefda) - Clé orpheline => Clé supprimée avec succès O23 - Service: (NMIndexingService) - Clé orpheline => Clé supprimée avec succès O23 - Service: (SpyHunter 4 Service) - Clé orpheline => Clé non supprimée O41 - Driver: (cexnbrd) . (. - .) - C:\WINDOWS\system32\drivers\cexnbrd.sys (.not file.) => Clé supprimée avec succès O51 - MPSK:{86437dd8-ec9f-11de-8c99-001e903936a6}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\MI.exe (.not file.) => Clé supprimée avec succès O51 - MPSK:{9b05c22e-109a-11e0-8e92-001e903936a6}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\Setup_FlipShare.exe (.not file.) => Clé supprimée avec succès O64 - Services: CurCS - C:\WINDOWS\abafecafbbcdf.exe (.not file.) - 0121d81291a27c0dcb6f89c42adf05besv (abafecafbbcdf) .(...) - LEGACY_ABAFECAFBBCDF => Clé supprimée avec succès O64 - Services: CurCS - C:\WINDOWS\eababaeeefda.exe (.not file.) - 0121d81291a27c0dcb6f89c42adf05besa (eababaeeefda) .(...) - LEGACY_EABABAEEEFDA => Clé supprimée avec succès O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Local Settings\Application Data th.exe (.not file.) => Clé absente SS - | Auto 0 | C:\WINDOWS\abafecafbbcdf.exe (abafecafbbcdf) . (...) - C:\WINDOWS\abafecafbbcdf.exe => Clé absente SS - | Auto 2008-04-13 0 | C:\WINDOWS\eababaeeefda.exe (eababaeeefda) . (...) - C:\WINDOWS\eababaeeefda.exe => Clé absente O67 - Shell Spawning: <.exe> exefile[HKLM\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\LocalService\Local Settings\Application Data\opp.exe => Clé absente O67 - Shell Spawning: <.exe> exefile[HKU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\LocalService\Local Settings\Application Data\opp.exe => Clé absente ========== Valeur(s) du Registre ========== O47 - AAKE:Key Export SP - C:\Documents and Settings\Olivier\Bureau\Flyff\Neuz.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Bureau\Flyff\Neuz.exe (.not file.) => Valeur absente O47 - AAKE:Key Export SP - C:\Documents and Settings\Olivier\Bureau\Server Files euz.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Bureau\Server Files euz.exe (.not file.) => Valeur absente O47 - AAKE:Key Export SP - C:\Documents and Settings\Olivier\Bureau\XtacyFlyff euz.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Bureau\XtacyFlyff euz.exe (.not file.) => Valeur absente O47 - AAKE:Key Export SP - C:\Documents and Settings\Olivier\Bureau\Flyff\itak.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\Olivier\Bureau\Flyff\itak.exe (.not file.) => Valeur absente O47 - AAKE:Key Export SP - C:\Program Files\LuckyWire\LuckyWire.exe [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\LuckyWire\LuckyWire.exe (.not file.) => Valeur absente O47 - AAKE:Key Export SP - C:\WINDOWS\system32 undll32.exe [Enabled] Clé orpheline => Valeur absente O52 - TDSD: \drivers.desc\ir50_32.dll=Indeo® video 5.10 . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente O52 - TDSD: \drivers.desc\DivX.dll=DivX 6.9.2 Codec . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente O52 - TDSD: \drivers.desc\3ivxVfWCodec.dll=3ivx MPEG-4 5.0.3 . (.Pas de propriétaire - Pas de description.) -- (.not file.) => Valeur absente ========== Fichier(s) ========== c:\dlcx.log => Supprimé et mis en quarantaine c:\windows\abafecafbbcdf.exe => Fichier absent c:\windows\eababaeeefda.exe => Fichier absent c:\documents and settings\localservice\local settings\application data\opp.exe => Fichier absent ========== Logiciel(s) ========== O42 - Logiciel: Messenger_Plus_Live_CA-EN Toolbar - (.Pas de propriétaire.) [HKLM] -- Messenger_Plus_Live_CA-EN Toolbar O44 - LFC:[MD5.7C58935BD92D9C660B13B1A1B33A995A] - 2011-02-17 - 20:25:14 ---A- . (...) -- C:\dlcxscan.log [3427] => Logiciel déjà supprimé ========== Récapitulatif ========== 14 : Clé(s) du Registre 9 : Valeur(s) du Registre 4 : Fichier(s) 1 : Logiciel(s) End of the scan Il jai déja supprimer spyhunter sa fait déja un bon moment.

juju666 · Answer

Ok, alors recommence zhpfix avec ces lignes:

O64 - Services: CurCS - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe (.not file.) - SpyHunter 4 Service (SpyHunter 4 Service) .(...) - LEGACY_SPYHUNTER_4_SERVICE    
SS - | Auto 2010-04-28 0 | (SpyHunter 4 Service) . (...) - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe

BigStar4 · Answer

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-2011-03-11-15-15-21.txt
Run by Émilie at 2011-03-11 15:15:21
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe (.not file.) - SpyHunter 4 Service (SpyHunter 4 Service) .(...) - LEGACY_SPYHUNTER_4_SERVICE  => Clé supprimée avec succès
SS - | Auto 2010-04-28 0 | (SpyHunter 4 Service) . (...) - C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.exe  => Clé non supprimée

========== Fichier(s) ==========
c:\progra~1\enigma~1\spyhun~1\sh4ser~1.exe  => Fichier absent


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Fichier(s)


End of the scan


Voila le raport

BigStar4 · Answer

Et après quesque je doit fair ?

juju666 · Answer

Je crois que c est bon :]

Lance un scan avec ton antivirus et donne moi le résultat ;)

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+

BigStar4 · Answer

Merci beaucoup mon probleme est résolu :)

BigStar4 · Answer

Même si mon virus est partit jenvoit quand même la mise a jour JavaRa:

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Fri Mar 11 16:07:35 2011

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

------------------------------------

Finished reporting.

juju666 · Answer

JavaRa c est pour enlever les anciennes versions de java ;)

tati · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6215

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

30/03/2011 14:05:01
mbam-log-2011-03-30 (14-05-01).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 135067
Temps écoulé: 56 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\26D.tmp" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

juju666 · Answer

salut pourquoi tu as refais un mbam tu as chopé autre chose?

par précaution 

&#9654  Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Nettoyer » 
&#9654 Confirme lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Win32 et XP home security 2011

42 réponses

Discussions similaires

Newsletters