7 svchost et 1 svhost32, que faire ??

Résolu
Profil bloqué -  
 Profil bloqué -
Bonjour,

Je viens de détecté avec plusieurs anti-malwares (Malwarebytes' Anti-Malware, SUPERAntiSpyware PRO EDITION, Spybot - Search & Destroy, et avast) un virus appelé svhost32.exe, j'ai fait supprimer plusieurs fois et avec plusieurs redémarrage, le fichier revient tout seul
D'après mes recherches: svhost32.exe est un virus qui pirate les mots de passes.
Donc j'ai réussi a localiser le virus dans c:/Windows/temp/ et je le supprime manuellement a chaque démarrage. (ça revient tout le temps).
Ceci n'est pas à l'origine des 7 svchost.exe ?? Normalement pour faire tourner windows on doit en avoir 3 ou 4 mais pas 7.
Alors lequel fermer avec le gestionnaire de tâches et comment les supprimer ? (y compris svhost32).

Merci de votre réponse.

16 réponses

  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Hello,

    Il est normal d'avoir plusieurs instances d'svchost.exe. Ce processus est utilisé pour charger différents services. Par contre le "svhost32.exe" ça pue..

    Fais ceci :

    ▶▷▶▷▶▷▶▷▶▷ ZHPDiag ◁◀◁◀◁◀◁◀◁◀

    ◈ Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

    ◈ Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

    ◈ Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.

    Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "

    ◈ Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

    ◈ Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

    ◈ Rend toi sur cjoint puis clique sur " Parcourir ".

    ◈ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

    ◈ Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
    2
  2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    En effet ton PC est infecté. Fais ceci pour commencer :

    ▶▷▶▷▶▷▶▷▶▷ Combofix ◁◀◁◀◁◀◁◀◁◀

    ◈ Télécharge ComboFix ( de sUBs ) à cette adresse.

    /!\ Ferme toutes les fenêtres de programme ouvertes /!\

    /!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

    ◈ Double clique sur " Combofix.exe "

    ◈ Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

    ◈ Pendant le scan, ne touche à rien ( souris, clavier )

    ◈ Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

    Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
    1
  3. Profil bloqué
     
    Voici le lien Cjoint:
    http://cjoint.com/11av/ADsmYjuZZa.htm

    Maintenant que faut il faire ??
    (PS: le "svhost32.exe" est supprimé manuellement à chaque démarrage)
    0
  4. Profil bloqué
     
    Je n'arrive pas à copier combofix, il apparait comme un dossier.
    0
    1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Comment ça? Tu n'arrives pas à le lancer ?
      0
    2. Profil bloqué
       
      Si j'arrive à le lancer mais après le redémarrage, je suis allé sur c:\combofix et il n'y a pas de combofix.txt. (Combofix est un dossier dans C:\combofix)
      0
    3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Le rapport est directement sous C:\

      Tu dois avoir un "Combofix.txt"
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Profil bloqué
     
    J'ai relancer le scan, c'est bon j'ai le rapport:

    ComboFix 11-04-17.03 - Leo 18/04/2011 16:35:07.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1533 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Leo\Bureau\ComboFix.exe
    AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
    .
    .
    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    c:\documents and settings\Leo\Application Data\data.dat
    c:\documents and settings\Leo\Application Data\Leolog.dat
    c:\documents and settings\Leo\Application Data\Random.exe
    c:\documents and settings\Leo\Application Data\rundll .exe
    c:\documents and settings\Leo\mail.dat
    c:\documents and settings\Leo\mess.dat
    c:\documents and settings\Leo\WINDOWS
    C:\install.exe
    .
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2011-03-18 au 2011-04-18 ))))))))))))))))))))))))))))))))))))
    .
    .
    2011-04-18 10:47 . 2011-04-18 10:47 512 ----a-w- C:\PhysicalDisk0_MBR.bin
    2011-04-17 19:35 . 2011-04-18 10:55 -------- d-----w- c:\program files\ZHPDiag
    2011-04-17 17:22 . 2011-04-17 17:22 -------- d-----w- c:\documents and settings\Leo\Local Settings\Application Data\PackageAware
    2011-04-17 13:42 . 2011-04-17 13:42 -------- d-----w- c:\documents and settings\Leo\Application Data\SUPERAntiSpyware.com
    2011-04-17 13:42 . 2011-04-17 13:42 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
    2011-04-17 13:42 . 2011-04-17 13:42 -------- d-----w- c:\program files\SUPERAntiSpyware
    2011-04-14 16:42 . 2011-04-14 16:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Electronic Arts
    2011-04-14 16:42 . 2011-04-14 16:42 -------- d-----w- c:\documents and settings\All Users\Application Data\EA Core
    2011-04-10 12:48 . 2011-04-10 12:48 -------- d-----w- c:\documents and settings\Leo\Local Settings\Application Data\The Wonderful End of the World
    2011-04-10 10:01 . 2011-04-10 10:01 -------- d-----w- c:\documents and settings\Leo\Local Settings\Application Data\Two Tribes
    2011-04-09 10:18 . 2011-04-09 10:18 -------- d-----w- c:\documents and settings\Leo\Application Data\Lazy 8 Studios
    2011-04-09 10:15 . 2011-04-09 10:15 -------- d-----w- c:\documents and settings\Leo\Local Settings\Application Data\Lazy 8 Studios
    2011-04-09 10:02 . 2011-04-09 10:04 -------- d-----w- c:\documents and settings\Leo\Local Settings\Application Data\Bit.Trip Beat
    2011-04-09 09:55 . 2011-04-09 09:55 -------- d-----w- c:\program files\Microsoft.NET
    2011-04-09 09:53 . 2011-04-09 09:53 -------- d-----w- c:\program files\OpenAL
    2011-04-09 09:04 . 2011-04-09 09:07 -------- d-----w- c:\documents and settings\Leo\Local Settings\Application Data\AaaaaRecklessDisregard
    2011-04-09 08:57 . 2011-04-09 08:59 -------- d-----w- c:\documents and settings\Leo\Local Settings\Application Data\123KickIt
    2011-04-05 16:55 . 2011-04-05 16:55 -------- d-----w- c:\documents and settings\Leo\Application Data\SFR
    2011-04-05 16:53 . 2009-01-14 13:15 110592 ----a-w- c:\windows\system32\drivers\ZTEusbnet.sys
    2011-04-05 16:53 . 2009-01-12 07:12 105344 ----a-w- c:\windows\system32\drivers\ZTEusbvoice.sys
    2011-04-05 16:53 . 2009-01-12 07:12 105344 ----a-w- c:\windows\system32\drivers\ZTEusbnmea.sys
    2011-04-05 16:53 . 2009-01-04 15:29 104960 ----a-w- c:\windows\system32\drivers\ZTEusbser6k.sys
    2011-04-05 16:53 . 2009-01-04 15:29 104960 ----a-w- c:\windows\system32\drivers\ZTEusbmdm6k.sys
    2011-03-21 20:34 . 2006-06-14 12:44 12288 ----a-r- c:\windows\system32\drivers\EIO_XP.sys
    2011-03-21 20:33 . 2011-03-21 20:33 -------- d-----w- c:\program files\My Company Name
    .
    .
    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2011-04-09 09:53 . 2011-02-20 08:51 444952 ----a-w- c:\windows\system32\wrap_oal.dll
    2011-04-09 09:53 . 2011-02-20 08:51 109080 ----a-w- c:\windows\system32\OpenAL32.dll
    2011-03-22 18:15 . 2009-08-18 10:30 564632 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\wlidui.dll
    2011-03-22 18:15 . 2009-08-18 10:24 18328 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
    2011-03-19 10:38 . 2010-11-24 12:12 138696 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
    2011-03-19 10:37 . 2010-11-24 12:11 201816 ----a-w- c:\windows\system32\PnkBstrB.exe
    2011-03-11 10:37 . 2010-08-28 10:06 22328 ----a-w- c:\documents and settings\Leo\Application Data\PnkBstrK.sys
    2011-03-11 10:37 . 2010-11-26 16:45 669184 ----a-w- c:\windows\system32\pbsvc.exe
    2011-03-11 10:37 . 2010-11-24 12:11 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
    2011-03-07 05:33 . 2010-08-27 13:22 692736 ----a-w- c:\windows\system32\inetcomm.dll
    2011-03-04 06:36 . 2008-04-13 17:33 420864 ----a-w- c:\windows\system32\vbscript.dll
    2011-03-03 13:53 . 2008-04-13 16:58 1858048 ----a-w- c:\windows\system32\win32k.sys
    2011-02-22 23:05 . 2008-04-13 17:33 916480 ----a-w- c:\windows\system32\wininet.dll
    2011-02-22 23:05 . 2008-04-13 17:34 1469440 ------w- c:\windows\system32\inetcpl.cpl
    2011-02-22 23:05 . 2008-04-13 17:33 43520 ----a-w- c:\windows\system32\licmgr10.dll
    2011-02-22 11:42 . 2008-04-13 17:00 385024 ----a-w- c:\windows\system32\html.iec
    2011-02-17 17:06 . 2011-03-13 11:12 33712 ----a-w- c:\windows\system32\drivers\VBoxUSB.sys
    2011-02-17 17:06 . 2011-02-03 19:38 160560 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
    2011-02-17 17:06 . 2011-02-03 19:38 44784 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
    2011-02-17 17:06 . 2011-01-18 16:43 111152 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
    2011-02-17 13:18 . 2008-04-13 10:17 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2011-02-17 13:18 . 2008-04-13 10:15 357888 ----a-w- c:\windows\system32\drivers\srv.sys
    2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
    2011-02-15 12:56 . 2008-04-13 17:31 290432 ----a-w- c:\windows\system32\atmfd.dll
    2011-02-09 13:54 . 2008-04-13 17:33 270848 ----a-w- c:\windows\system32\sbe.dll
    2011-02-09 13:54 . 2008-04-13 17:33 186880 ----a-w- c:\windows\system32\encdec.dll
    2011-02-08 13:34 . 2008-04-13 17:33 978944 ----a-w- c:\windows\system32\mfc42.dll
    2011-02-08 13:34 . 2007-04-02 18:14 974848 ----a-w- c:\windows\system32\mfc42u.dll
    2011-02-02 20:40 . 2010-09-05 15:12 472808 ----a-w- c:\windows\system32\deployJava1.dll
    2011-02-02 18:19 . 2010-09-05 15:12 73728 ----a-w- c:\windows\system32\javacpl.cpl
    2011-02-02 07:59 . 2010-08-27 13:20 2067456 ----a-w- c:\windows\system32\mstscax.dll
    2011-01-27 11:57 . 2010-08-27 13:20 677888 ----a-w- c:\windows\system32\mstsc.exe
    2011-01-21 14:44 . 2008-04-13 17:33 441344 ----a-w- c:\windows\system32\shimgvw.dll
    2008-05-02 14:01 . 2010-08-27 13:21 83968 ----a-w- c:\program files\msgsc.dll
    2008-04-13 17:33 . 2010-08-27 13:21 33792 ----a-w- c:\program files\custsat.dll
    2008-04-13 08:30 . 2010-08-27 13:21 180224 ----a-w- c:\program files\msgslang.dll
    .
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4
    .
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2011-03-25 2402512]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
    "Steam"="c:\program files\Steam\steam.exe" [2010-11-17 1242448]
    "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2011-01-24 2200376]
    .
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
    "avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2011-01-13 3396624]
    "LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
    "PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2010-04-12 180224]
    "SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
    "DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-03-21 1230704]
    .
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
    .
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
    2009-09-03 22:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL
    .
    [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^NETGEAR WG111v2 Smart Wizard.lnk]
    path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\NETGEAR WG111v2 Smart Wizard.lnk
    backup=c:\windows\pss\NETGEAR WG111v2 Smart Wizard.lnkCommon Startup
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUSGamerOSD]
    2009-05-13 10:12 380928 ----a-w- c:\program files\ASUS\GamerOSD\GamerOSD.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]
    2005-06-08 12:44 196608 ----a-w- c:\program files\Logitech\Video\ManifestEngine.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]
    2005-06-08 13:24 458752 ----a-w- c:\program files\Logitech\Video\ISStart.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]
    2005-06-08 13:14 217088 ----a-w- c:\program files\Logitech\Video\LogiTray.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSRaid]
    2007-01-18 09:59 389120 ------w- c:\program files\Silicon Integrated Systems\SiSRaidPackage\Sraid.exe
    .
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
    2011-03-16 22:24 2423752 ----a-w- c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\TmUnitedForever\\TmForever.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Steam\\Steam.exe"=
    "c:\\Program Files\\Codemasters\\Colin McRae Rally 04\\cmr4.exe"=
    "c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
    "c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
    "c:\\Program Files\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
    "c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
    "c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\burnout(tm) paradise the ultimate box\\BurnoutParadise.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\burnout(tm) paradise the ultimate box\\BurnoutConfigTool.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\burnout(tm) paradise the ultimate box\\Support\\EA Help\\Electronic_Arts_Technical_Support.htm"=
    "c:\\Program Files\\StarCraft II\\StarCraft II.exe"=
    "c:\\Program Files\\StarCraft II\\Versions\\Base16939\\SC2.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\fallout 3\\FalloutLauncher.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\fallout 3\\Fallout3.exe"=
    "c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2ServerLauncher.exe"=
    "c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
    "c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
    "c:\\Program Files\\Microsoft Games\\Halo\\halo.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\crysis warhead\\Bin32\\Crysis.exe"=
    "c:\\Program Files\\ASUS\\GamerOSD\\SBS.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\lead and gold gangs of the wild west\\lag_win32_public_dev.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\left 4 dead 2\\left4dead2.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\left 4 dead 2\\bin\\SDKLauncher.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\audiosurf\\engine\\QuestViewer.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\rush\\rush.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\bit.trip beat\\beat.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\123kickit\\123KickIt.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\aaaaaaaaaaaaaaaaaaaaaaaaa!!!\\main.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\the wonderful end of the world\\main.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\the ball\\Binaries\\Win32\\TheBall.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\amnesia the dark descent\\Launcher.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\defensegridtheawakening\\DefenseGrid.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\cogs\\cogs.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\toki tori\\tokitori.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4sp.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\call of duty modern warfare 2\\iw4mp.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\killingfloor\\System\\KillingFloor.exe"=
    .
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
    .
    R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [27/08/2010 17:03 294608]
    R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 20:25 12872]
    R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 20:41 67656]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/08/2010 17:03 17744]
    R2 OxygenAudioDevMon;Oxygen Audio Device Monitor;c:\program files\M-Audio\Oxygen\AudioDevMon.exe [04/03/2010 06:31 1632776]
    R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [27/08/2010 15:46 101904]
    S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 13:16 130384]
    S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [05/09/2010 09:48 136176]
    S3 EagleXNt;EagleXNt;\??\c:\windows\system32\drivers\EagleXNt.sys --> c:\windows\system32\drivers\EagleXNt.sys [?]
    S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [30/11/2010 11:27 36608]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [10/03/2011 15:42 311744]
    S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
    S3 OXYGEN;Service for M-Audio Oxygen;c:\windows\system32\drivers\MAudioOxygen.sys [27/08/2010 17:31 112136]
    S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;c:\windows\system32\drivers\wg111v2.sys [27/08/2010 16:07 272128]
    S3 U6000ALL;U6000 TV Box(ALL);c:\windows\system32\drivers\U6000ALL.sys [27/08/2010 17:50 230784]
    S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\system32\drivers\VBoxNetAdp.sys [18/01/2011 18:43 111152]
    S3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\system32\DRIVERS\VBoxNetFlt.sys --> c:\windows\system32\DRIVERS\VBoxNetFlt.sys [?]
    S3 VBoxUSB;VirtualBox USB;c:\windows\system32\drivers\VBoxUSB.sys [13/03/2011 13:12 33712]
    S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 13:16 753504]
    S3 ZTEusbvoice;ZTE VoUSB Port;c:\windows\system32\drivers\ZTEusbvoice.sys [05/04/2011 18:53 105344]
    .
    Contenu du dossier 'Tâches planifiées'
    .
    2011-04-17 c:\windows\Tasks\AWC Update.job
    - c:\program files\IObit\Advanced SystemCare 3\IObitUpdate.exe [2010-08-27 13:24]
    .
    2011-04-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-09-05 07:48]
    .
    2011-04-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2010-09-05 07:48]
    .
    2011-04-18 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-839522115-2052111302-1644491937-1003.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
    .
    2011-04-15 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-839522115-2052111302-1644491937-1003.job
    - c:\program files\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Connection Wizard,ShellNext = iexplore
    FF - ProfilePath - c:\documents and settings\Leo\Application Data\Mozilla\Firefox\Profiles\37lb15pa.default\
    FF - prefs.js: browser.startup.homepage - hxxp://informatique-console.tk/
    FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
    FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
    FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
    FF - Ext: DownloadHelper: {b9db16a4-6edc-47ec-a1f4-b86292ed211d} - %profile%\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
    FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
    FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
    .
    .
    **************************************************************************
    .
    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2011-04-18 16:46
    Windows 5.1.2600 Service Pack 3 NTFS
    .
    Recherche de processus cachés ...
    .
    Recherche d'éléments en démarrage automatique cachés ...
    .
    Recherche de fichiers cachés ...
    .
    Scan terminé avec succès
    Fichiers cachés: 0
    .
    **************************************************************************
    .
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
    "ImagePath"="c:\windows\system32\GameMon.des -service"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------
    .
    [HKEY_USERS\S-1-5-21-839522115-2052111302-1644491937-1003\Software\SecuROM\License information*]
    "datasecu"=hex:4f,fc,25,01,b1,65,37,3f,a9,a0,02,2f,90,2a,de,dc,7c,23,8d,90,86,
    2d,c9,e9,62,d7,a1,0d,f8,2b,29,4f,bb,b1,29,5b,97,7f,b1,ff,0f,28,f4,d8,17,c4,\
    "rkeysecu"=hex:fc,c0,7e,17,05,7d,fc,b5,1a,af,54,29,89,3b,60,32
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"
    .
    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------
    .
    - - - - - - - > 'winlogon.exe'(776)
    c:\program files\SUPERAntiSpyware\SASWINLO.DLL
    c:\windows\system32\Ati2evxx.dll
    c:\windows\system32\atiadlxx.dll
    .
    Heure de fin: 2011-04-18 16:48:18
    ComboFix-quarantined-files.txt 2011-04-18 14:48
    .
    Avant-CF: 101 821 906 944 octets libres
    Après-CF: 101 877 829 632 octets libres
    .
    - - End Of File - - F2F46CA574CBF4BCCD884CC5A9E93B6C

    (PS: pourquoi mozzila n'est plus mon navigateur par défaut apres ce scan ?
    EDIT: Je l'ai remis par défaut, c'est bizarre)

    Maintenant que dois-je faire ??
    0
  7. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Combofix remet IE en navigateur par défaut. Bien entendu tu peux remettre firefox.

    Tu as donc lancé deux fois Combofix ? C'est embêtant car du coup je ne sais pas ce qu'il a supprimé au premier passage :/

    Fais ceci :

    ▶▷▶▷▶▷▶▷▶▷ Ad-Remover ◁◀◁◀◁◀◁◀◁◀

    ◈ Télécharge AD-Remover ( de C_XX ).

    ◈ Lance AD-Remover puis choisis l'option " Nettoyer ".

    Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

    ◈ Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

    ◈ Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt

    + Un nouveau ZHPDiag
    0
    1. Profil bloqué
       
      Combofix n'a rien supprimer du 1er passage, il y a un un bug: le PC s'était éteins. (je crois).
      Je fais ce que vous avez demandé: un Ad-Remover + un (re) ZHPDiag.
      0
    2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Ce n'est pas parce que le PC c'est éteint que Combofix n'a rien supprimé :o)
      Enfin on verra ça avec le nouveau ZHPDiag
      0
  8. Profil bloqué
     
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:36:29 le 18/04/2011, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Leo@LEO-D2D8584279A ( )

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Canneverbe Limited\OpenCandy
    Clé supprimée: HKLM\Software\Cheat Engine\OpenCandy
    Clé supprimée: HKLM\Software\GamersFirst\OpenCandy
    Clé supprimée: HKLM\Software\Messenger Plus!\OpenCandy

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.16 (fr)] ****

    Plugins\NPMFireLauncher.dll (MGame)
    HKLM_MozillaPlugins\@gametap.com/npdd,version=1.0 (x)
    HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)

    -- C:\Documents and Settings\Leo\Application Data\Mozilla\FireFox\Profiles\37lb15pa.default --
    Prefs.js - browser.download.dir, C:\\Documents and Settings\\Leo\\Bureau
    Prefs.js - browser.startup.homepage, hxxp://informatique-console.tk/
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16

    ========================================

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_ElevationPolicy\{D802E3EF-2513-4661-972E-BAD737EFBA88} - C:\Program Files\DivX\DivX OVS Helper\OVSHelperBroker.exe (DivX, LLC.)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 18/04/2011 17:36:39 (478 Octet(s))

    Fin à: 17:37:29, 18/04/2011

    ============== E.O.F ==============

    (ça a l'air d'aller mieux car svhost32.exe ne s'est pas réapparu
    Mais je lance un rapport de ZHPDiag. (ça va mettre 30 min))
    0
  9. Profil bloqué
     
    AD-REMOVER: http://cjoint.com/11av/ADssincwQPw.htm
    ZHPDiag: http://cjoint.com/11av/ADssgvQCGZb.htm
    0
  10. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    J'avais raison Combofix a supprimé pas mal de trucs au premier passage \o/ L'ordi est presque clean, fais ceci maintenant :

    ▶▷▶▷▶▷▶▷▶▷ Malwarebytes' Anti-Malware ◁◀◁◀◁◀◁◀◁◀

    ◈ Télécharge Malwarebytes' Anti-malware sur ton bureau.

    ◈ Installe le en suivant les instructions. Coche "Créer une icône sur le bureau"

    ◈ A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

    ◈ Une fois lancé, clique sur "Exécuter un examen complet" puis sur [Rechercher]

    ◈ Sélectionne tout tes disques locaux et amovibles.

    ◈ Patiente pendant toute la durée du scan, puis clique sur [Ok] une fois l'analyse effectuée.

    ◈ Clique ensuite sur [Afficher les résultats] puis sur [Supprimer la sélection]. Valide ensuite par [Ok].

    ◈ MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

    ◈ Tu peux ensuite vider la quarantaine de MBAM.

    Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

    ◈ Si tu as des soucis, un tutoriel est disponible à cette adresse.
    0
    1. Profil bloqué
       
      Âpres d'avoir fait MBAM (il est déjà installé sur mon PC)
      Je lance SUPERAntiSpyware Pro edition ??
      0
    2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Non, désinstalle SUPERAntiSpyware, ça fait doublon avec MBAM et il est pas plus efficace.
      0
    3. Profil bloqué
       
      Ok mais je trouve que SUPERAntiSpyware trouve mieux que MBAM: MBAM n'a pas trouvé de svhost32 et SUPERblabla en a trouvé 1 (c'est grâce a lui que je vous contacte)
      0
    4. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Je reste tout de même sceptique. En tout cas SUPERAntiSpyware a pas trouvé tout le reste, et crois moi y'en avais.. ;-)
      0
  11. Profil bloqué
     
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6360

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    18/04/2011 19:34:45
    mbam-log-2011-04-18 (19-34-45).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 298035
    Temps écoulé: 1 heure(s), 20 minute(s), 29 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
    1. Profil bloqué
       
      ça à l'air réglé; comment on supprime tous les logiciels qui ont été nécessaires à la suppression du virus ?? (combofix, AD-R, ZHP)
      0
    2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      On les supprimera à l'aide d'un outil spécialisé à la fin, pour l'instant suis les instructions du dessous :o) on a presque fini
      0
  12. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok on a presque terminé :

    ▶▷▶▷▶▷▶▷▶▷ ZHPFix ◁◀◁◀◁◀◁◀◁◀

    /!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

    ◈ Copie le texte en gras ci-dessous ( CTRL + C pour copier )


    O43 - CFD: 20/02/2011 - 10:52:02 - [2210] ----D- C:\Documents and Settings\Leo\Local Settings\Application Data\76561198026039547
    O23 - Service: (MSSQL$SONY_MEDIAMGR) - Clé orpheline
    O23 - Service: (SQLAgent$SONY_MEDIAMGR) - Clé orpheline
    EmptyTemp
    EmptyFlash
    FirewallRaz


    ◈ Lance ZHPFix qui est présent sur ton bureau.

    Clique sur le "H" bleu ( Coller les lignes Helper )

    ◈ Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

    ◈ Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]

    ◈ Clique maintenant sur [Tous] , puis sur [Nettoyer]

    ◈ Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

    ◈ Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
    0
  13. Profil bloqué
     
    Rapport de ZHPFix 1.12.3275 par Nicolas Coolman, Update du 11/04/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-18-04-2011-20-00-47.txt
    Run by Leo at 18/04/2011 20:00:47
    Windows XP Professional Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    O23 - Service: (MSSQL$SONY_MEDIAMGR) - Clé orpheline => Clé non supprimée
    O23 - Service: (SQLAgent$SONY_MEDIAMGR) - Clé orpheline => Clé non supprimée

    ========== Valeur(s) du Registre ==========
    FirewallRaz : Aucune valeur présente dans la clé d'exception du registre

    ========== Dossier(s) ==========
    Dossiers Flash Cookies supprimés : 3

    ========== Fichier(s) ==========
    Fichiers Flash Cookies supprimés : 2

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    1 : Valeur(s) du Registre
    1 : Dossier(s)
    1 : Fichier(s)

    End of the scan
    0
  14. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    La désinfection est maintenant terminée, merci de l'avoir suivie jusqu'au bout :)

    Nous allons maintenant terminer la procédure avec la mise à jour de ton PC, la suppression des outils que nous avons utilisés, un peu d'optimisation et plusieurs liens utiles.

    Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan.

    -+-+-+-+-> Mise à jour du PC <-+-+-+-+-

    [x] Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.

    1ère étape : Java

    [o] Télécharge JavaRa puis décompresse le sur ton bureau.
    [o] Ouvre le dossier JavaRa puis exécute JavaRa.exe.
    [o] Clique sur "Search For Updates".
    [o] Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
    [o] Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
    [o] Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
    [o] Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
    [o] Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

    /!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\

    -+-+-+-+-> DelFix <-+-+-+-+-

    [x] Télécharge DelFix sur ton bureau.

    [x] Lance le et appuie sur [Suppression]

    [x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

    Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

    [x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation].

    -+-+-+-+-> Purger la restauration système <-+-+-+-+-

    [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

    [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

    [x] Tutoriels :

    - Windows XP
    - Windows Vista
    - Windows 7

    -+-+-+-+-> Liens utiles <-+-+-+-+-

    Ces liens sont en rapport direct avec la sécurité de ton PC.
    Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

    - Les dangers du P2P
    - La sécurité de son PC, c'est quoi?
    - Sécuriser son ordinateur
    - Pourquoi maintenir son navigateur à jour?
    - Les toolbars c'est pas obligatoire
    0
  15. Profil bloqué
     
    JAVA:
    JavaRa 1.15 Removal Log.

    Report follows after line.

    ------------------------------------

    The JavaRa removal process was started on Mon Apr 18 20:10:44 2011

    Found and removed: C:\Documents and Settings\Leo\Application Data\Sun\Java\jre1.6.0_20

    Found and removed: C:\Documents and Settings\Leo\Application Data\Sun\Java\jre1.6.0_21

    Found and removed: C:\Documents and Settings\Leo\Application Data\Sun\Java\jre1.6.0_22

    Found and removed: C:\Documents and Settings\Leo\Application Data\Sun\Java\jre1.6.0_23

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

    Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

    JavaRa 1.15 Removal Log.

    Report follows after line.

    ------------------------------------

    The JavaRa removal process was started on Mon Apr 18 20:16:28 2011

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

    Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

    Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

    Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

    ------------------------------------

    Finished reporting.
    0
  16. Profil bloqué
     
    DELFIX:
    # DelFix v7.7B - Rapport créé le 18/04/2011 à 20:19
    # Mis à jour le 15/04/11 à 19h30 par Xplode
    # Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    # Nom d'utilisateur : Leo - LEO-D2D8584279A (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\Leo\Bureau\DelFix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    -> C:\Qoobox\BackEnv ... ACL modifié avec succès.
    Supprimé : C:\Qoobox
    Supprimé : C:\Program Files\Ad-Remover
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\ZHPExportRegistry-18-04-2011-20-00-47.txt
    Supprimé : C:\JavaRa.log
    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\WINDOWS\grep.exe
    Supprimé : C:\WINDOWS\PEV.exe
    Supprimé : C:\WINDOWS\NIRCMD.exe
    Supprimé : C:\WINDOWS\MBR.exe
    Supprimé : C:\WINDOWS\sed.exe
    Supprimé : C:\WINDOWS\SWREG.exe
    Supprimé : C:\WINDOWS\SWSC.exe
    Supprimé : C:\WINDOWS\SWXCACLS.exe
    Supprimé : C:\WINDOWS\zip.exe
    Supprimé : C:\Documents and Settings\Leo\Bureau\ComboFix.exe
    Supprimé : C:\Documents and Settings\Leo\Bureau\AD-R.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
    Clé Supprimée : HKLM\Software\Classes\.cfxxe
    Clé Supprimée : HKLM\Software\Classes\cfxxefile
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
    ACL [0] -> [7] & Clé Supprimée : HKLM\SOFTWARE\Swearware

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [2111 octets] ##########
    0
    1. Profil bloqué
       
      Fini ??
      0
  17. Profil bloqué
     
    Merci beaucoup de votre aide, ça m'a fait très plaisir de ne plus avoir de PC infecté. Je vais pouvoir enfin rejouer à mes jeux.
    0
    1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Ouep c'est fini. Je mets le sujet en résolu.

      Bonne soirée
      0
    2. Profil bloqué
       
      Bonne soirée à vous.
      0