Demande aide lecture rapport Hijackthis Résolu/Fermé

Question

Bonjour, 

je rencontre de gros problèmes avec mon ordinateur, est-ce que quelqu'un peut m'aider à lire ce rapport Hijackthis ?

Merci

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:31:34, on 12/03/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.19019)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\WLTRAY.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Sandboxie\SbieCtrl.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\ProgramData\U3\U3Launcher\LaunchU3.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Windows\system32\conime.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.letemps.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.ch/ig/dell?hl=fr&client=dell-row&channel=ch&ibd=0080731
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - C:\Program Files\Eazel-FR	bEaze.dll
O1 - Hosts: ::1 localhost
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - C:\Program Files\Eazel-FR	bEaze.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5805.1910\swg.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Dell\BAE\BAE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - C:\Program Files\Eazel-FR	bEaze.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [ECenter] C:\Dell\E-Center\EULALauncher.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\Windows\system32\WLTRAY.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" /mode2
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKCU\..\Run: [tcactive] C:\Program Files\The Cleaner	cap.exe
O4 - .DEFAULT User Startup: Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: LaunchU3.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: QuickSet.lnk = C:\Program Files\Dell\QuickSet\quickset.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Afficher ou masquer l'HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O13 - Gopher Prefix: 
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} (IlosoftImageUploadCtl Class) - http://webc.mustpoker.net/controls/IlosoftImageUpload.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_238116a1\aestsrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Firewall - AVAST Software - C:\Program Files\Alwil Software\Avast5\afwServ.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: Dock Login Service (DockLoginService) - Stardock Corporation - C:\Program Files\Dell\DellDock\DockLogin.exe
O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_238116a1\STacSV.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\WLTRYSVC.EXE

gen-hackman · Answer

salut quels soucis rencontes-tu particulierement ?

desinstalle tout ce qui contient le mot toolbar

AAAlex22 · Answer

Mon ordinateur se bloque au bout de quelques minutes et la souris reste active, mais impossible de faire fonctionner quelque chose. J'ai déjà eu ça il y a 2 ans.

J'ai fait un scan rapide avec Malwarebyte et il ne sort rien, mais je n'arrive pas à faire un scan complet car cela bloque au bout de 15 minutes.

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Killem

mirroirs :

List_Kill'em
List_Kill'em

et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

&#9654 Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ces liens dans ta réponse.

AAAlex22 · Answer

merci, je vais tester ça.

gen-hackman · Answer

ok poste les rapports demandés que je puisse examiner ca :)

AAAlex22 · Answer

Ouf, enfin j'y arrive, j'ai du éteindre 4 fois mon ordinateur, voici et merci:

http://www.cijoint.fr/cjlink.php?file=cj201103/cijg67J0nI.txt

http://www.cijoint.fr/cjlink.php?file=cj201103/cijz8bm3uO.txt

gen-hackman · Answer

&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

AAAlex22 · Answer

Voici le rapport, j'ai juste eu un petit souci au redémarrage.... le curseur de la souris s'est mis à bouger dans tous les sens et j'ai coupé ma connexion internet !!! Rien compris de ce qu'il se passait....

======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:33:13 le 12/03/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Alex@PC-DE-ALEX (Dell Inc. Studio 1535) 
 
============== ACTION(S) ==============


Dossier supprimé: C:\Poker\Poker 770
Dossier supprimé: C:\Poker\Titan Poker
Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Titan Poker.lnk
Fichier supprimé: C:\Users\Alex\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Titan Poker.lnk
Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Poker 770
Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Titan Poker
Dossier supprimé: C:\Users\Alex\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\Alex\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Fichier supprimé: C:\Users\Alex\Desktop\Poker 770.lnk

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Alex\AppData\Roaming\Mozilla\FireFox\Profiles\6v9ty3qg.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2095689&Sea... 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{D121117E-5EBD-4D1E-A26C-2AF4216F52C2}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D121117E-5EBD-4D1E-A26C-2AF4216F52C2}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D121117E-5EBD-4D1E-A26C-2AF4216F52C2}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2095689
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\Poker 770
Clé supprimée: HKLM\Software\Titan Poker
Clé supprimée: HKCU\Software\Poker 770
Clé supprimée: HKCU\Software\Titan Poker
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1465A525-1E0C-4F6C-8995-56A09E46F154}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Poker 770
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Titan Poker
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Poker 770
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Titan Poker
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Extensions\{49783ED4-258D-4f9f-BE11-137C18D3E543}

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{30F9B915-B755-4826-820B-08FBA6BD249D}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.15 (fr)] ****

HKLM_MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 (x)
HKLM_Extensions|smartwebprinting@hp.com - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
HKLM_Extensions|{3112ca9c-de6d-4884-a869-9855de68056c} - C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
HKCU_Extensions|smartwebprinting@hp.com - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3

-- C:\Users\Alex\AppData\Roaming\Mozilla\FireFox\Profiles\6v9ty3qg.default --
Extensions\{ef4e370e-d9f0-4e00-b93e-a4f274cfdd5a} (FoxTab)
Prefs.js - browser.download.dir, C:\Users\Alex\Downloads
Prefs.js - browser.download.lastDir, C:\Users\Alex\Documents\2. Dossiers\Anniv Lana
Prefs.js - browser.search.defaultenginename, Google
Prefs.js - browser.search.selectedEngine, Eazel-FR Customized Web Search
Prefs.js - browser.startup.homepage, hxxp://www.letemps.ch/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.15

========================================

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - "Eazel-FR Toolbar" (C:\Program Files\Eazel-FR	bEaze.dll)
HKLM_URLSearchHooks|{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - "Eazel-FR Toolbar" (C:\Program Files\Eazel-FR	bEaze.dll)
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=7v766WBnZ5o1-YPoDkPJUsBHbgY?q={searchTerms})
HKCU_Toolbar\WebBrowser|{A8F9752D-E2B8-4E7A-86B5-499F4330E2FE} (C:\Program Files\Eazel-FR	bEaze.dll)
HKLM_Toolbar|{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} (C:\Program Files\Eazel-FR	bEaze.dll)
HKCU_ElevationPolicy\{D5F01258-E892-429D-AAA7-89AD4B77A8C0} - c:\users\alex\downloads\susrun-u3-06-02-05.exe (Protecteer, LLC)
HKCU_ElevationPolicy\{D5F01259-E892-429D-AAA7-89AD4B77A8C0} - c:\users\alex\appdataoaming\u3\351543191fd281f4\285e6953-bf3c-4445-9376-3fe5d7f645b2\exec\bin-06-02-07\susrun.exe (x)
HKCU_ElevationPolicy\{D5F0125A-E892-429D-AAA7-89AD4B77A8C0} - C:\Users\Alex\AppData\Local\Temp\SignupShield\download\signupshield-suite-06-02-07.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_ElevationPolicy\{DE32878D-9951-48FB-A46D-DC4ECBFF4679} - C:\Program Files\Eazel-FR\Eazel-FRToolbarHelper.exe (?)
HKLM_Extensions\{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - "@C:\Windows\WindowsMobile\INetRepl.dll,-222" (C:\Windows\WindowsMobile\INetRepl.dll,210)
HKLM_Extensions\{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - "?" (?)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{7E853D72-626A-48EC-A868-BA8D5E23E045} (?)
BHO\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - "Eazel-FR Toolbar" (C:\Program Files\Eazel-FR	bEaze.dll)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\Program Files\Dell\BAE\BAE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 5796 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 12/03/2011 11:33:58 (8029 Octet(s)) 

Fin à: 11:36:10, 12/03/2011 
 
============== E.O.F ==============

gen-hackman · Answer

en fait , tel que tu peux le voir , c'est tous tes sites de poker qui te pourrissent le pc

==================================

ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


REM:"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{30528230-99F7-4BB4-88D8-FA1D4F56A2AB}"
REM:"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{347B0667-C7ED-429B-BDE3-CC8D3BACAA31}"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v "{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}"
REM:"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v "{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}"
REM:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler" /v "{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}"
REM:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}
REM:HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}
REM:HKEY_CLASSES_ROOT\CLSID\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} 



&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

&#9654 poste le resultat
 
&#9654 Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

AAAlex22 · Answer

Désolé pour l'absence, me voilà de retour:


¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Alex (Administrateurs) 
Update on 10/03/2011 by g3n-h@ckm@n ::::: 08.40
Start at: 18:33:01 | 12/03/2011

Intel(R) Core(TM)2 Duo CPU     T9300  @ 2.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.19019

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 287,95 Go (101,58 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 10 Go (5,84 Go free) [RECOVERY] | NTFS
E:\ -> Disque CD-ROM
 

Running Process Killed : PID 1340 'Firefox.exe'  
Running Process Killed : PID 3892 'explorer.exe'  
 
¤¤¤¤¤¤¤¤¤¤ Processus :
 

¤¤¤¤¤¤¤¤¤¤ Added Keys :
 

¤¤¤¤¤¤¤¤¤¤ Removed Keys :
 
Suppression : HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{30528230-99F7-4BB4-88D8-FA1D4F56A2AB}   
Suppression : HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{347B0667-C7ED-429B-BDE3-CC8D3BACAA31}   
Suppression : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar : {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}   
Suppression : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}   
Suppression : HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}   
Suppression : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}   
Suppression : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}   
Suppression : HKEY_CLASSES_ROOT\CLSID\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}   

¤¤¤¤¤¤¤¤¤¤ Ports closed :
 

¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :
 

¤¤¤¤¤¤¤¤¤¤ Drivers deleted :
 
 
 

¤¤¤¤¤¤¤¤¤¤ Object Restored :
 

¤¤¤¤¤¤¤¤¤¤ Folder List :
 

¤¤¤¤¤¤¤¤¤¤ Read File :
 

¤¤¤¤¤¤¤¤¤¤ Sign control :
 

¤¤¤¤¤¤¤¤¤¤ Key Look :
 

End at 18:33:31

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

à la longue....

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Suppression

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse 

&#9654 envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr

AAAlex22 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201103/cijVVcMxeZ.zip



¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Alex (Administrateurs) 
Update on 10/03/2011 by g3n-h@ckm@n ::::: 08.40
Start at: 19:12:06 | 12/03/2011

Intel(R) Core(TM)2 Duo CPU     T9300  @ 2.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.19019

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 287,95 Go (101,35 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 10 Go (5,84 Go free) [RECOVERY] | NTFS
E:\ -> Disque CD-ROM
 
Killed : PID 3660 'explorer.exe'
 

¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers 

Mis en quarantaine : C:\Users\Alex\Documents\cl' de sauvegarde cc_20110311_102356.reg   
Mis en quarantaine : C:\Users\Alex\AppData\Local\d3d9caps.dat   
Mis en quarantaine : C:\Users\Alex\AppData\Local\fusioncache.dat   
Mis en quarantaine : C:\Users\Alex\AppData\Local\GDIPFONTCACHEV1.DAT   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

C:\Windows\System32\Drivers\etc\hosts
127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
cval	=      	1 (0x1) 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio -> Start = 3   
 EapHost -> Start = 2   
 Wlansvc -> Start = 2   
 SharedAccess -> Start = 2   
 windefend -> Start = 2   
 wuauserv -> Start = 2   
 wscsvc -> Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	=      	1 (0x1) 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\Windows\System32\userinit.exe, 
 VMapplet	=         	rundll32 shell32,Control_RunDLL sysdm.cpl 
 System	=         	 
 PowerdownAfterShutdown	=         	1 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

TDSS | svchost | Internet Explorer: 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6002 Disk: WDC_WD32 rev.11.0 -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys hal.dll partmgr.sys volmgr.sys ecache.sys volsnap.sys Ntfs.sys 
C:\Windows\system32\drivers\iastor.sys Intel Corporation Intel Matrix Storage Manager driver
1 ntkrnlpa!IofCallDriver[0x8327E912] -> \Device\Harddisk0\DR0[0x873C8620]
3 CLASSPNP[0x8CD9D8B3] -> ntkrnlpa!IofCallDriver[0x8327E912] -> \Device\Ide\IAAStorageDevice-1[0x868C0030]
kernel: MBR read successfully
user & kernel MBR OK 


Fin du Nettoyage : 19:14:26

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

gen-hackman · Answer

ferme tes navigateurs pendant le scan

il bloque à combien ?

gen-hackman · Answer

si tu ne me dis pas ou il bloque je pas pas faire avancer les choses

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-21160444-demande-aide-lecture-rapport-hijackthis#26

AAAlex22 · Answer

Je n'ai pas réussi à faire un scan complet avec Malwarebyte, blocage après 1h30.

Avec ZHPDiag ça bloque au 61, mais sûr un autre dossier (l'autre j'ai supprimer, adieu vat !).

J'ai décocher le 61 et j'ai finalement (après plusieurs tentatives) un rapport

http://www.cijoint.fr/cjlink.php?file=cj201103/cijpNrRaNJ.txt

J'ai peut-être un soucis avec le web, parce que dès que j'allume ma connexion, ça fais bloquer ZHPDiag et si je débranche aussitôt, ZHPDiag continue son travail.

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

C:\Windows\Installer\{D8E363A7-88B7-446D-B2C0-E26CE4DC8E54}\_294823.exe       

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

=======================================

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
R3 - URLSearchHook: (no name) - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} Clé orpheline  
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe  
OPT:O4 - HKLM\..\Run: [hpqSRMon] Clé orpheline 
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe 
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe  
O4 - HKCU\..\Run: [3PlanesoftAnimatedWallpaper] Clé orpheline  
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
O4 - Global Startup: C:\Users\Alex\Desktop\Club Windows Mobile.lnk - Clé orpheline 
O4 - Global Startup: C:\Users\Alex\Desktop\UsbFix.lnk . (...)  -- C:\Program Files\UsbFix\UsbFix.cmd      
O23 - Service:  (PCD5SRVC{3F6A8B78-EC003E00-05040104}) - Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [PCDoctorBackgroundMonitorTask] (.Pas de propriétaire.) -- C:\Program Files\Dell Support Center\uaclauncher.exerunsilently (.not file.)  
O42 - Logiciel: Adobe Reader 8.1.3 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A81300000003}
O42 - Logiciel: Eazel-FR Toolbar - (.Pas de propriétaire.) [HKLM] -- Eazel-FR Toolbar 
O42 - Logiciel: Java 6 Update 4 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160040}  
O42 - Logiciel: Java 6 Update 5 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160050}
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070} 
[HKCU\Software\Casino]   
[HKCR\CLSID\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}]

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

AAAlex22 · Answer

Bonjour,

désolé pour l'absence, quelques petits soucis familiaux.

J'ai fait plusieurs tentatives avec ZHPFix qui n'ont jamais abouti et hier, j'ai pu faire un scan complet avec Malwarebyte (en ayant coupé toutes les conexions et avec des prières) qui a trouvé un Trojan.

Depuis, j'ai pu relancer ZHPFix avec succès:


Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-21-03-2011-20-30-14.txt
Run by Alex at 21/03/2011 20:30:14
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O42 - Logiciel: Eazel-FR Toolbar - (.Pas de propriétaire.) [HKLM] -- Eazel-FR Toolbar  => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
O23 - Service: (PCD5SRVC{3F6A8B78-EC003E00-05040104}) - Clé orpheline  => Clé absente
HKCU\Software\Casino  => Clé supprimée avec succès
HKCR\CLSID\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}  => Clé absente
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}  => Clé absente
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}  => Clé absente
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}  => Clé absente

========== Valeur(s) du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified  => Valeur absente
R3 - URLSearchHook: (no name) - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} Clé orpheline  => Valeur absente
O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe  => Valeur absente
O4 - HKLM\..\Run: [hpqSRMon] Clé orpheline  => Valeur absente
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe  => Valeur absente
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  => Valeur absente
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe  => Valeur absente
O4 - HKCU\..\Run: [3PlanesoftAnimatedWallpaper] Clé orpheline  => Valeur absente
O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe  => Valeur absente

========== Fichier(s) ==========
c:\users\alex\desktop\club windows mobile.lnk  => Fichier absent
c:\users\alex\desktop\usbfix.lnk  => Fichier absent
c:\program files\usbfix\usbfix.cmd  => Fichier absent
c:\program files\dell support center\uaclauncher.exerunsilently (.not file.)  => Fichier absent

========== Logiciel(s) ==========
O42 - Logiciel: Adobe Reader 8.1.3 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A81300000003}  => Logiciel déjà supprimé
O42 - Logiciel: Java 6 Update 4 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160040}  => Logiciel déjà supprimé
O42 - Logiciel: Java 6 Update 5 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160050}  => Logiciel déjà supprimé
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}  => Logiciel déjà supprimé

========== Tache planifiée ==========
Task : PCDoctorBackgroundMonitorTask  => Tache absente


========== Récapitulatif ==========
7 : Clé(s) du Registre
9 : Valeur(s) du Registre
4 : Fichier(s)
4 : Logiciel(s)
1 : Tache planifiée


End of the scan

gen-hackman · Answer

et mon fichier sur virus total ?

et le rapport de MBAM ?

de plus refais un zhpdiag

AAAlex22 · Answer

Voilà,

http://www.virustotal.com/file-scan/report.html?id=52d5b455c8f3910ac4461834062dcf767b63df52aa09edb95eb4ace552ccaf6c-1300739580

MBAM qu'est-ce que c'est ?

 http://www.cijoint.fr/cjlink.php?file=cj201103/cijjH3bTMm.txt

gen-hackman · Answer

ok quels soucis persistent ?

AAAlex22 · Answer

Lors du scan avec 061 coché, un message apparait "Argument incorrect pour l'encodage de date". je clique sur le message et le scan ne continue pas.

gen-hackman · Answer

decoche la 061

AAAlex22 · Answer

Sinon actuellement mon ordinateur à l'aire de fonctionner normalement depuis la suppression du trojan..... effet placebo ???!!!???

gen-hackman · Answer

Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Ferme tous tes navigateurs Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels nettoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

AAAlex22 · Answer

# DelFix v7.5 - Rapport créé le 21/03/2011 à 22:01
# Mis à jour le 15/03/11 à 16h30 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : Alex - PC-DE-ALEX (Administrateur)
# Exécuté depuis : C:\Users\Alex\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\RSIT
Supprimé : C:\Kill'em
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\List_Kill'em
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files	rend micro\Hijackthis
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\List'em.txt
Supprimé : C:\UsbFix.txt
Supprimé : C:\ZHPExportRegistry-21-03-2011-20-30-14.txt
Supprimé : C:\Users\Alex\Desktop\AD-R.lnk
Supprimé : C:\Users\Alex\Desktop\HijackThis.lnk
Supprimé : C:\Users\Alex\Desktop\List_Kill'em.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Alex\Downloads\List_Killem_Install(2).exe
Supprimé : C:\Users\Alex\Downloads\List_Killem_Install.exe
Supprimé : C:\Users\Alex\Downloads\ToolsCleaner2.exe
Supprimé : C:\Users\Alex\Downloads\HJTInstall.exe
Supprimé : C:\Users\Alex\Downloads\ZHPDiag2(2).exe
Supprimé : C:\Users\Alex\Downloads\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{List_Kill'em}_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2283 octets] ##########

AAAlex22 · Answer

Merci pour toute ton aide, c'est vraiment sympa ! Encore merci.

gen-hackman · Answer

;)

Demande aide lecture rapport Hijackthis

29 réponses

Discussions similaires