Sujet Précédent Sujet Suivant

Problème de redirection depuis google

Fermé
Virefluck - 22 mars 2011 à 09:32
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 24 mars 2011 à 21:18
Bonjour, j'ai un petit problème avec google, je suis sans arrêt redirigé vers une page de pub qui elle même me redirige vers une autre page de pub, toujours la même.
Je suis sous Vista et j'utilise google chrome.
Alors évidement j'ai essayer de me débrouiller tout seul donc j'ai une flopée de programme anti-spy etc mais rien n'a marché (enfin ils m'ont virer quelques infections, mais le problème demeure). J'aurai peut-être besoin dune aide personnalisée ... désolé et merci :)

MBAM me trouve aucune erreurs, TDSSKiller non plus

Voici pour analyse de AdRemover


======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [2]) -> Lancé à 09:19:35 le 22/03/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
Astrid@PC-DE-ASTRID (Sony Corporation VGN-AR88E)

============== RECHERCHE ==============


Fichier trouvé: C:\Windows\system32\wbem\Performance\WmiApRpl_new.ini



============== SCAN ADDITIONNEL ==============

-- C:\Users\Astrid\AppData\Roaming\Mozilla\FireFox\Profiles\zf5syp98.default --
Extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} (FlashGot)
Extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} (Vuze Remote Toolbar)
Extensions\{DB9127A2-3381-41ec-82B3-1B6ED4C6F29A} (flashget3 Extension)
Searchplugins\dailymotion.xml (?)
Searchplugins\deezer.xml (?)
Searchplugins\recherche-de-vidos-youtube.xml (?)
Prefs.js - browser.download.dir, C:\\Users\\Astrid\\Downloads
Prefs.js - browser.download.lastDir, C:\\Users\\Astrid\\Desktop
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.16

========================================

**** Google Chrome Version [10.0.648.151] ****

Extension\jfmjfhklogoienhpfnppmbcbjfjnkonk (C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx) (?)

-- C:\Users\Astrid\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://ffxforever.highforum.net/t1152p30-ncuneu-game
Preferences - homepage_is_newtabpage: false
Plugin - Pando Web Plugin (Activé: true) (C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll)
Plugin - Windows Live\u0099 Photo Gallery (Activé: true) (C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll)
Plugin - "Windows Live\u0099 Photo Gallery" (Activé: true)
Plugin - "DivX Player Netscape Plugin" (Activé: true)
Plugin - "Pando Web Plugin" (Activé: true)
Plugin - "Picasa" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKLM_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=hwXbVOZraYbjhr8u-7Zus05HRvo?q={searchTerms})
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)
HKLM_Toolbar|{265EEE8E-3228-44D3-AEA5-F7FDF5860049} (C:\Program Files\Orange\AntivirusFirewall\NRS\iescript\baselitmus.dll)
HKLM_Toolbar|{ba14329e-9550-4989-b3f2-9732e92d17cc} (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKLM_ElevationPolicy\{5A4793D2-B592-4C49-94DD-2B9E19F034B7} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_Extensions\{58ECB495-38F0-49cb-A538-10282ABF65E7} - "Livre de reliures HP" (C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll,207)
HKLM_Extensions\{700259D7-1666-479a-93B1-3250410481E8} - "Sélection intelligente HP" (C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll,209)
HKLM_Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276} - "PartyPoker.fr" (C:\Programs\PartyFrance\PartyPokerFr\images\ppicon.ico)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{053F9267-DC04-4294-A72C-58F732D338C0} - "HP Print Clips" (C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll)
BHO\{201f27d4-3704-41d6-89c1-aa35e39143ed} (?)
BHO\{b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - "FlashGetBHO" (C:\Users\Astrid\AppData\Roaming\FlashGetBHO\FlashGetBHO3.dll)
BHO\{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
BHO\{C6867EB7-8350-4856-877F-93CF8AE3DC9C} - "Browsing Protection Class" (C:\Program Files\Orange\AntivirusFirewall\NRS\iescript\baselitmus.dll)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\PROGRA~1\GOOGLE~1\BAE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 41 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 17 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/03/2011 08:38:53 (10281 Octet(s))
C:\Ad-Report-SCAN[1].txt - 22/03/2011 08:36:40 (10440 Octet(s))
C:\Ad-Report-SCAN[2].txt - 22/03/2011 09:19:42 (5739 Octet(s))

Fin à: 09:21:02, 22/03/2011

============== E.O.F ==============



Et voici pour le nettoyage de AdRemover



======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 09:21:29 le 22/03/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
Astrid@PC-DE-ASTRID (Sony Corporation VGN-AR88E)

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.




============== SCAN ADDITIONNEL ==============

-- C:\Users\Astrid\AppData\Roaming\Mozilla\FireFox\Profiles\zf5syp98.default --
Extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} (FlashGot)
Extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} (Vuze Remote Toolbar)
Extensions\{DB9127A2-3381-41ec-82B3-1B6ED4C6F29A} (flashget3 Extension)
Searchplugins\dailymotion.xml (?)
Searchplugins\deezer.xml (?)
Searchplugins\recherche-de-vidos-youtube.xml (?)
Prefs.js - browser.download.dir, C:\\Users\\Astrid\\Downloads
Prefs.js - browser.download.lastDir, C:\\Users\\Astrid\\Desktop
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.16

========================================

**** Google Chrome Version [10.0.648.151] ****

Extension\jfmjfhklogoienhpfnppmbcbjfjnkonk (C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx) (?)

-- C:\Users\Astrid\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://ffxforever.highforum.net/t1152p30-ncuneu-game
Preferences - homepage_is_newtabpage: false
Plugin - Pando Web Plugin (Activé: true) (C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll)
Plugin - Windows Live\u0099 Photo Gallery (Activé: true) (C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll)
Plugin - "Windows Live\u0099 Photo Gallery" (Activé: true)
Plugin - "DivX Player Netscape Plugin" (Activé: true)
Plugin - "Pando Web Plugin" (Activé: true)
Plugin - "Picasa" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKLM_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=hwXbVOZraYbjhr8u-7Zus05HRvo?q={searchTerms})
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)
HKLM_Toolbar|{265EEE8E-3228-44D3-AEA5-F7FDF5860049} (C:\Program Files\Orange\AntivirusFirewall\NRS\iescript\baselitmus.dll)
HKLM_Toolbar|{ba14329e-9550-4989-b3f2-9732e92d17cc} (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKLM_ElevationPolicy\{5A4793D2-B592-4C49-94DD-2B9E19F034B7} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_Extensions\{58ECB495-38F0-49cb-A538-10282ABF65E7} - "Livre de reliures HP" (C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll,207)
HKLM_Extensions\{700259D7-1666-479a-93B1-3250410481E8} - "Sélection intelligente HP" (C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll,209)
HKLM_Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276} - "PartyPoker.fr" (C:\Programs\PartyFrance\PartyPokerFr\images\ppicon.ico)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{053F9267-DC04-4294-A72C-58F732D338C0} - "HP Print Clips" (C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll)
BHO\{201f27d4-3704-41d6-89c1-aa35e39143ed} (?)
BHO\{b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - "FlashGetBHO" (C:\Users\Astrid\AppData\Roaming\FlashGetBHO\FlashGetBHO3.dll)
BHO\{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
BHO\{C6867EB7-8350-4856-877F-93CF8AE3DC9C} - "Browsing Protection Class" (C:\Program Files\Orange\AntivirusFirewall\NRS\iescript\baselitmus.dll)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\PROGRA~1\GOOGLE~1\BAE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 41 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 19 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/03/2011 08:38:53 (10281 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 22/03/2011 09:21:32 (5647 Octet(s))
C:\Ad-Report-SCAN[1].txt - 22/03/2011 08:36:40 (10440 Octet(s))
C:\Ad-Report-SCAN[2].txt - 22/03/2011 09:19:42 (5877 Octet(s))

Fin à: 09:22:33, 22/03/2011

============== E.O.F ==============
A voir également:

35 réponses

  • 1
  • 2
Réponse 1 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 22/03/2011 à 09:53
Bonjour,

Relance AD-Remover et choisis désinstaller.
Poste le rapport MBAM si tu l'as.

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
1
Réponse 2 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
22 mars 2011 à 10:49
Est-ce que tu peux poster ce rapport AD-Remover:
C:\Ad-Report-CLEAN[1].txt

Smart
1
Réponse 3 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
22 mars 2011 à 13:10
Tu vas faire ceci:

Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Windows\Explorer.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport.
Le lien se trouve en hait dans la barre d'adresse du navigateur Internet

Ensuite tu fais de même pour ce fichier:
C:\Windows\System32\Wininit.exe

Smart
1
Réponse 4 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
22 mars 2011 à 13:45
Désolé, mais je ne peux pas accéder à tes liens
Quan,d tu fais un collé du lien, mets le entre []

Smart
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
22 mars 2011 à 14:21
Tu vas faire ceci:
Lance ZHPdiag et clique sur bouton Jumelles pour lancer ZHPSearch.
Copie les lignes en gras ci-dessous et colle les dans la fenêtre ZHPSearch
----------------------------------------------
/MD5Start
Explorer.exe
Wininit.exe
/MD5Stop
---------------------------------------------------
Clique sur la loupe pour lancer la recherche. Une fois terminée, clique sur le bouton parchemin pour afficher le rapport
Copie et colle ce rapport dans ta réponse

Smart
1
Réponse 6 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
22 mars 2011 à 15:06
Merci pour le compléméents d'info.

Tu vas faire ceci:
- Ferme toutes tes applications en ours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
FCOPY C:\Windows\Explorer.exe | C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
FCOPY C:\Windows\System32\Wininit.exe | C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Tu redémarre le PC et tu repasses les deux fichiers:
C:\Windows\Explorer.exe
C:\Windows\System32\Wininit.exe
Au scan Virustaotal et tu postes les liens

Smart
1
Réponse 7 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
22 mars 2011 à 16:13
Tu as bien rédamrré le PC.

Car les fichiers sont toujours infectés.
Tu vas faire ceci:
Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Le lien se trouve en hait dans la barre d'adresse du navigateur Internet

Smart
1
Réponse 8 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
22 mars 2011 à 16:26
Donc c'est bien ce que je pensais.
ZHPFix a bien remplacé les fichiers infectés par une copie saine, mais l'infection se chargeant en mémoire repatch les fichiers (modifie).

Il faut donc faire autrement. As-tu un autre PC sain avec un graveur de CD ?

Smart
1
Réponse 9 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 22/03/2011 à 17:01
On va le faire avec une clé USB.
Pour t'explique on va crée une image de windows ( en l'occurence XP ici) sur une clé USB et on va booter depuis cette clé, comme cela uniquement les processus sytème de cette clé qui seront téléchargés et là on fera un remplement des fichiers infectés par des fichiers sains
Mais avant je voudrais que tu fasses ceci:
- Ferme toutes tes applications en ours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
C:\Windows\system32\wbem\Performance\WmiApRpl_new.ini

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
1
Réponse 10 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
22 mars 2011 à 17:54
Je voulais en fait m'assurer que AD-R l'avait bien supprimé.

Télécharger OTLPEUSBInstall.exe sur ton bureau
Double-clic sur l'exécutable pour extraire et exécuter le programme.
Insère une clé usb avant de poursuivre.

/!\ Attention ta clé usb sera formaté pour la rendre bootable /!\

Lorsque la fenêtre s'ouvrira, sélectionne la clé que tu souhaites formater
Sélectionnes dans la zone Boot Option : XP (NTLDR)
Coches la case : OTLPE_Network.iso
Clic sur le bouton Lancer.
Patiente pendant le formatage et l'installation des fichiers nécessaires pour démarrer OLTPE_Network.
Une fois, terminer ferme le programme

Redémarre ton PC en t'assurant de booter sur la clé usb en modifiant ta séquence de boot (USB-FDD ou USB-HDD)
Au menu choisir OTLPE Into RAM, Patiente le temps du chargement...

Ensuite fais ceci:
- Double cliquer sur OTLPE
- Si tu obtient la même fenêtre avec le message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES
- Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK

OTL se lance
Copiez ce texte en gras
- Coller le texte dans la partie Custom Scans/Files

--------------------------------------------------
:files
C:\Windows\explorer.exe|C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe /replace
C:\Windows\System32\wininit.exe|C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe /replace
-------------------------------------------------
- Clique sur Run Fix en haut de la fenêtre
- Si une fenêtre s'ouvre avec un message : No Fix has been Provided! Do you want to load it from a file ; cliquer sur YES
- Coller le contenu du rapport dans la réponse
Note : La rapport se trouve dans C:\OTL

Smart
1
Réponse 11 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
22 mars 2011 à 20:28
On ne va pas paniquer.

1. Est-ce que tu as créé la clé avec OTLPE USB.
2. Est-ce que tu as bien pu démarrer depuis cette clé ?
3. Est-ce que tu arrives sur l'écran reagoto qui ressemble à Windows

Voilà dis moi ce qu'il en est avec ces 3 questions et on verra ensuite.

Smart
1
Réponse 12 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
Modifié par Smart91 le 22/03/2011 à 22:52
Va sur l lien ci-dessous pour changer la séquence de boot:
https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot

Et dans la liste tu mets en premier USB-FDD ou USB-HDD, cela dépend des pC
Ensuite tu redémarres le le PC avec la clé USB insérée

Il faut patienter pour que le système se charge, c'est plus long avec une clé USB qu'in Disque dur ou CD.
Ensuite tu dois arriver sur un écran semblable à Windows

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
1
Réponse 13 / 35
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 328
23 mars 2011 à 10:12
Le fichiers sont bons.
En revanche je n'ai pas compris. Tu n'as plus accés à internet.
Est-ce que tu as bien redémarré le PC sans la clé, normalement tu devrais revenir sur Vista et tu devrais avoir accés à internet et c'est à partir de là qu'il faut faire une vérification des fichiers avec Virustotal

Smart
---
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
1
Réponse 14 / 35
Virefluck
Modifié par Virefluck le 22/03/2011 à 10:02
Voici le rapport. Par contre j'ai desinstallé AR après l'analyse de ZHPDiag.
http://pjjoint.malekal.com/files.php?id=390ec48e79589

Merci pour ton aide

EDIT : je vais être absent une bonne demi heure et je ne suis pas sure que je pourrai télécharger quoique ce soit jusqu'à au moins 13H30 car je serai à la fac et je ne sais pas si je peux télécharger de labas, j'essaierai tout de même.
0
Réponse 15 / 35
Virefluck
22 mars 2011 à 11:26
LE voici :



======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 08:38:48 le 22/03/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
Astrid@PC-DE-ASTRID (Sony Corporation VGN-AR88E)

============== ACTION(S) ==============


Dossier supprimé: C:\Users\Astrid\AppData\Roaming\Mozilla\FireFox\Profiles\zf5syp98.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
Dossier supprimé: C:\Users\Astrid\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\Astrid\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Users\Astrid\AppData\LocalLow\FunWebProducts
Dossier supprimé: C:\Users\Astrid\AppData\LocalLow\MyWebSearch
Dossier supprimé: C:\ProgramData\Trymedia
Fichier supprimé: C:\Program Files\Windows Live\Messenger\Riched20.dll

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Astrid\AppData\Roaming\Mozilla\FireFox\Profiles\zf5syp98.default\Prefs.js --
Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...
Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "CT2504091");
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "CT2504091");
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Clé supprimée: HKLM\Software\Classes\CLSID\{E012D346-B5B6-4B9C-90E9-8EE9B9827210}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E012D346-B5B6-4B9C-90E9-8EE9B9827210}
Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Clé supprimée: HKLM\Software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Clé supprimée: HKLM\Software\Classes\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}
Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
Clé supprimée: HKLM\Software\Classes\BHO.IFlashGetNetscapeEx
Clé supprimée: HKLM\Software\Classes\BHO.IFlashGetNetscapeEx.1
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKLM\Software\Trymedia Systems
Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\Software\Fun Web Products
Clé supprimée: HKCU\Software\AppDataLow\Software\MyWebSearch
Clé supprimée: HKLM\Software\Cheat Engine\OpenCandy
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7FF5323C-1B03-41C5-A6B5-0C7102A507CF}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MyWebSearch bar Uninstall
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

-- C:\Users\Astrid\AppData\Roaming\Mozilla\FireFox\Profiles\zf5syp98.default --
Extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} (FlashGot)
Extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} (Vuze Remote Toolbar)
Extensions\{DB9127A2-3381-41ec-82B3-1B6ED4C6F29A} (flashget3 Extension)
Searchplugins\dailymotion.xml (?)
Searchplugins\deezer.xml (?)
Searchplugins\recherche-de-vidos-youtube.xml (?)
Prefs.js - browser.download.dir, C:\\Users\\Astrid\\Downloads
Prefs.js - browser.download.lastDir, C:\\Users\\Astrid\\Desktop
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.16

========================================

**** Google Chrome Version [10.0.648.151] ****

Extension\jfmjfhklogoienhpfnppmbcbjfjnkonk (C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx) (?)

-- C:\Users\Astrid\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://ffxforever.highforum.net/t1152p30-ncuneu-game
Preferences - homepage_is_newtabpage: false
Plugin - Pando Web Plugin (Activé: true) (C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll)
Plugin - Windows Live\u0099 Photo Gallery (Activé: true) (C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll)
Plugin - "Windows Live\u0099 Photo Gallery" (Activé: true)
Plugin - "DivX Player Netscape Plugin" (Activé: true)
Plugin - "Pando Web Plugin" (Activé: true)
Plugin - "Picasa" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKLM_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=hwXbVOZraYbjhr8u-7Zus05HRvo?q={searchTerms})
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)
HKLM_Toolbar|{265EEE8E-3228-44D3-AEA5-F7FDF5860049} (C:\Program Files\Orange\AntivirusFirewall\NRS\iescript\baselitmus.dll)
HKLM_Toolbar|{ba14329e-9550-4989-b3f2-9732e92d17cc} (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKLM_ElevationPolicy\{5A4793D2-B592-4C49-94DD-2B9E19F034B7} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_Extensions\{58ECB495-38F0-49cb-A538-10282ABF65E7} - "Livre de reliures HP" (C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll,207)
HKLM_Extensions\{700259D7-1666-479a-93B1-3250410481E8} - "Sélection intelligente HP" (C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll,209)
HKLM_Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276} - "PartyPoker.fr" (C:\Programs\PartyFrance\PartyPokerFr\images\ppicon.ico)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{053F9267-DC04-4294-A72C-58F732D338C0} - "HP Print Clips" (C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll)
BHO\{201f27d4-3704-41d6-89c1-aa35e39143ed} (?)
BHO\{b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - "FlashGetBHO" (C:\Users\Astrid\AppData\Roaming\FlashGetBHO\FlashGetBHO3.dll)
BHO\{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
BHO\{C6867EB7-8350-4856-877F-93CF8AE3DC9C} - "Browsing Protection Class" (C:\Program Files\Orange\AntivirusFirewall\NRS\iescript\baselitmus.dll)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\PROGRA~1\GOOGLE~1\BAE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 41 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/03/2011 08:38:53 (10075 Octet(s))
C:\Ad-Report-SCAN[1].txt - 22/03/2011 08:36:40 (10440 Octet(s))

Fin à: 08:39:59, 22/03/2011

============== E.O.F ==============
0
Réponse 16 / 35
Virefluck
22 mars 2011 à 13:12
Désolé je pouvais même pas poster de la fac :s
Voici le rapport :


======= RAPPORT D'AD-REMOVER 2.0.0.2,F | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 01/03/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 08:38:48 le 22/03/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
Astrid@PC-DE-ASTRID (Sony Corporation VGN-AR88E)

============== ACTION(S) ==============


Dossier supprimé: C:\Users\Astrid\AppData\Roaming\Mozilla\FireFox\Profiles\zf5syp98.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
Dossier supprimé: C:\Users\Astrid\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\Astrid\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Users\Astrid\AppData\LocalLow\FunWebProducts
Dossier supprimé: C:\Users\Astrid\AppData\LocalLow\MyWebSearch
Dossier supprimé: C:\ProgramData\Trymedia
Fichier supprimé: C:\Program Files\Windows Live\Messenger\Riched20.dll

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Astrid\AppData\Roaming\Mozilla\FireFox\Profiles\zf5syp98.default\Prefs.js --
Ligne supprimée: user_pref("CT2504091.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Ligne supprimée: user_pref("CT2504091.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT250...
Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "CT2504091");
Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "CT2504091");
-- Fichier Fermé --


Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Clé supprimée: HKLM\Software\Classes\CLSID\{E012D346-B5B6-4B9C-90E9-8EE9B9827210}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E012D346-B5B6-4B9C-90E9-8EE9B9827210}
Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Clé supprimée: HKLM\Software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Clé supprimée: HKLM\Software\Classes\Interface\{DE38C398-B328-4F4C-A3AD-1B5E4ED93477}
Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
Clé supprimée: HKLM\Software\Classes\BHO.IFlashGetNetscapeEx
Clé supprimée: HKLM\Software\Classes\BHO.IFlashGetNetscapeEx.1
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKLM\Software\Trymedia Systems
Clé supprimée: HKLM\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\Software\Fun Web Products
Clé supprimée: HKCU\Software\AppDataLow\Software\MyWebSearch
Clé supprimée: HKLM\Software\Cheat Engine\OpenCandy
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7FF5323C-1B03-41C5-A6B5-0C7102A507CF}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MyWebSearch bar Uninstall
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search

Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{30F9B915-B755-4826-820B-08FBA6BD249D}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}


============== SCAN ADDITIONNEL ==============

-- C:\Users\Astrid\AppData\Roaming\Mozilla\FireFox\Profiles\zf5syp98.default --
Extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} (FlashGot)
Extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} (Vuze Remote Toolbar)
Extensions\{DB9127A2-3381-41ec-82B3-1B6ED4C6F29A} (flashget3 Extension)
Searchplugins\dailymotion.xml (?)
Searchplugins\deezer.xml (?)
Searchplugins\recherche-de-vidos-youtube.xml (?)
Prefs.js - browser.download.dir, C:\\Users\\Astrid\\Downloads
Prefs.js - browser.download.lastDir, C:\\Users\\Astrid\\Desktop
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.16

========================================

**** Google Chrome Version [10.0.648.151] ****

Extension\jfmjfhklogoienhpfnppmbcbjfjnkonk (C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx) (?)

-- C:\Users\Astrid\AppData\Local\Google\Chrome\User Data\Default --
Preferences - default_search_provider: "Google" (Activé: true) (?)
Preferences - homepage: hxxp://ffxforever.highforum.net/t1152p30-ncuneu-game
Preferences - homepage_is_newtabpage: false
Plugin - Pando Web Plugin (Activé: true) (C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll)
Plugin - Windows Live\u0099 Photo Gallery (Activé: true) (C:\Program Files\Windows Live\Photo Gallery\NPWLPG.dll)
Plugin - "Windows Live\u0099 Photo Gallery" (Activé: true)
Plugin - "DivX Player Netscape Plugin" (Activé: true)
Plugin - "Pando Web Plugin" (Activé: true)
Plugin - "Picasa" (Activé: true)

========================================

**** Internet Explorer Version [8.0.6001.19019] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKLM_URLSearchHooks|{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=hwXbVOZraYbjhr8u-7Zus05HRvo?q={searchTerms})
HKCU_Toolbar\WebBrowser|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{47833539-D0C5-4125-9FA8-0819E2EAAC93} (C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll)
HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)
HKLM_Toolbar|{265EEE8E-3228-44D3-AEA5-F7FDF5860049} (C:\Program Files\Orange\AntivirusFirewall\NRS\iescript\baselitmus.dll)
HKLM_Toolbar|{ba14329e-9550-4989-b3f2-9732e92d17cc} (C:\Program Files\Vuze_Remote\tbVuze.dll)
HKLM_ElevationPolicy\{5A4793D2-B592-4C49-94DD-2B9E19F034B7} - C:\Program Files\Vuze_Remote\Vuze_RemoteToolbarHelper.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{74351F14-5437-4d87-805B-04D409B09976} - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe (Google)
HKLM_Extensions\{58ECB495-38F0-49cb-A538-10282ABF65E7} - "Livre de reliures HP" (C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll,207)
HKLM_Extensions\{700259D7-1666-479a-93B1-3250410481E8} - "Sélection intelligente HP" (C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll,209)
HKLM_Extensions\{725EC34E-943C-4df6-B0B2-FBDE7F242276} - "PartyPoker.fr" (C:\Programs\PartyFrance\PartyPokerFr\images\ppicon.ico)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
BHO\{053F9267-DC04-4294-A72C-58F732D338C0} - "HP Print Clips" (C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll)
BHO\{201f27d4-3704-41d6-89c1-aa35e39143ed} (?)
BHO\{b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - "FlashGetBHO" (C:\Users\Astrid\AppData\Roaming\FlashGetBHO\FlashGetBHO3.dll)
BHO\{ba14329e-9550-4989-b3f2-9732e92d17cc} - "Vuze Remote Toolbar" (C:\Program Files\Vuze_Remote\tbVuze.dll)
BHO\{C6867EB7-8350-4856-877F-93CF8AE3DC9C} - "Browsing Protection Class" (C:\Program Files\Orange\AntivirusFirewall\NRS\iescript\baselitmus.dll)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\PROGRA~1\GOOGLE~1\BAE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 41 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 22/03/2011 08:38:53 (10075 Octet(s))
C:\Ad-Report-SCAN[1].txt - 22/03/2011 08:36:40 (10440 Octet(s))

Fin à: 08:39:59, 22/03/2011

============== E.O.F ==============
0
Réponse 17 / 35
Virefluck
Modifié par Virefluck le 22/03/2011 à 13:55
Voici pour Explorer.exe :

http://www.virustotal.com/file-scan/report.html?id=051c0ab09d892754be8031bcb9df3a24283fbeaa8917252bb6f0e21b492f5643-1300797600


Et pour Wininit.exe :

http://www.virustotal.com/file-scan/report.html?id=d720893c215fbad5f7e8ea2f8f42f29de32e33a0fdeb6c8cda9272a1d46786ad-1300798208
0
Réponse 18 / 35
Virefluck
22 mars 2011 à 13:57
Voila j'ai édité mon message précédent, c'est moi qui suis désolé U_u
0
Réponse 19 / 35
Virefluck
22 mars 2011 à 14:32
Voila le rapport
Rapport de ZHPSearch 1.23.19 par Nicolas Coolman, Update du 25/02/2011
Run by Astrid at 22/03/2011 14:25:49
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

---\\ Elément(s) de recherche
/MD5Start
Explorer.exe
Wininit.exe
/MD5Stop

---\\ Liste des Fichiers & Dossiers:
[MD5.6093002DA14AB45C7D80CB96074E1CDF] - (.Microsoft Corporation.) 11/04/2009 07:27:36 | ---A- | -- C:\Windows\explorer.exe [2926592] => Fichier inconnu
[MD5.393C30D986991F49C5DE07315724BB23] - (.Microsoft Corporation.) 21/01/2008 03:23:42 | ---A- | -- C:\Windows\System32\wininit.exe [96768] => Fichier inconnu
[MD5.37440D09DEAE0B672A04DCCF7ABF06BE] - (.Microsoft Corporation.) 29/10/2008 07:20:29 | ---A- | -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe [2923520] => Fichier sain
[MD5.E7156B0B74762D9DE0E66BDCDE06E5FB] - (.Microsoft Corporation.) 28/10/2008 03:15:02 | ---A- | -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe [2923520] => Fichier sain
[MD5.FFA764631CB70A30065C12EF8E174F9F] - (.Microsoft Corporation.) 21/01/2008 03:24:24 | ---A- | -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe [2927104] => Fichier sain
[MD5.4F554999D7D5F05DAAEBBA7B5BA1089D] - (.Microsoft Corporation.) 29/10/2008 07:29:41 | ---A- | -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe [2927104] => Fichier sain
[MD5.50BA5850147410CDE89C523AD3BC606E] - (.Microsoft Corporation.) 30/10/2008 04:59:17 | ---A- | -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe [2927616] => Fichier sain
[MD5.D07D4C3038F3578FFCE1C0237F2A1253] - (.Microsoft Corporation.) 11/04/2009 07:27:36 | ---A- | -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe [2926592] => Fichier sain
[MD5.101BA3EA053480BB5D957EF37C06B5ED] - (.Microsoft Corporation.) 21/01/2008 03:23:42 | ---A- | -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe [96768] => Fichier sain

---\\ Bilan de la recherche
Mode de recherche : Fichiers, Dossiers
Elément(s) trouvé(s) : 9
Nombre de fichiers analysés : 83425
Nombre de clés, valeurs ou données analysées : 0
Mode : Recherche complète
End of the scan (03mn 24s)


Peut-être va-ce t'aider :

J'ai parcouru le topic de Thomas102 que tu as aidé récemment et ça m'a rappelé que j'ai aussi eu un problème d'écran bleu. En fait depuis un bon moment, chaque fois que j'utilise Vuze en même temps qu'un explorateur internet, au bout d'environ 5 minutes, je me prend un écran bleu. Et très récemment, après avoir décimé (pas entièrement apparemment) une horde de trojan qui s'étaient donnez rendez-vous sur ma machine, j'ai commencer à me manger des écrans bleu à répétition. Le PC redémarre, il arrive au bureau, lancement auto de vuze, écran bleu, le pc redémarre, etc. J'ai réussit à enlever le lancement auto de Vuze mais ça n'a rien changé. Mais voila que durant les 15 secondes dont je disposais entre redémarrage, mon antivirus m'affiche un fichier infecté. Ni une ni deux, je file chercher le salopiaud en mode sans échec et l'éradique en 3 clic. Le nom de ce fichiers ? HOST ... C'est pas dans mon habitude de supprimer sans chercher, mais ça c'est révéler salvateur. Plus d'écran bleu depuis sauf peut-être si je lance Vuze et un Explorateur Internet, mais je n'ai pas essayé à vrai dire.
Bon c'est pas très grave, pour ce que je me sers de Vuze ... C'est juste histoire que tu connaisse tout les symptômes.
0
Réponse 20 / 35
Kodomyak Messages postés 15 Date d'inscription mardi 22 mars 2011 Statut Membre Dernière intervention 30 avril 2013
22 mars 2011 à 16:02
C'est moi, Vireflcuk, je me suis inscrit parceque je n'arrivai plus à poster. Le forum me demandait à chaque fois de "renseigner le titre" pour je ne sais quelle raison.
Donc, le rapport de ZHPFix :

Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre :
Run by Astrid at 22/03/2011 15:14:35
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier(s) ==========
c:\windows\explorer.exe => Supprimé et mis en quarantaine
C:\Windows\Explorer.exe | C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe => Fichier infecté remplacé par une copie saine
c:\windows\system32\wininit.exe => Supprimé et mis en quarantaine
C:\Windows\System32\Wininit.exe | C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe => Fichier infecté remplacé par une copie saine


========== Récapitulatif ==========
4 : Fichier(s)


End of the scan



Voici pour Explorer.exe :
http://www.virustotal.com/file-scan/report.html?id=e12410070b26459750741c02395c5e9741d85865803579aea9d2ad4e55d65b92-1300803469


Et celui de Wininit.exe :
http://www.virustotal.com/file-scan/report.html?id=d720893c215fbad5f7e8ea2f8f42f29de32e33a0fdeb6c8cda9272a1d46786ad-1300803851
0