Publicite intempestive et ordi qui rame
Résolu2266sylalb Messages postés 46 Statut Membre -
ayant le même problème que Jeff je me permets de poster mon rapport AD
REMOVER est ce quelqu'un peut m aider ,merci.
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
D:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:37:34 le 14/05/2011, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Sylvie@ORDI-SYLVIE ( )
============== RECHERCHE ==============
Fichier trouvé: D:\Program Files\Mozilla FireFox\Components\AskSearch.js
Dossier trouvé: D:\Documents and Settings\Sylvie\Application Data\Agence-Exclusive
Dossier trouvé: D:\Documents and Settings\Sylvie\Local Settings\Application Data\Agence-Exclusive
Dossier trouvé: D:\Program Files\Agence-Exclusive
Dossier trouvé: D:\Documents and Settings\All Users\Application Data\Trymedia
Dossier trouvé: D:\Documents and Settings\All Users\Menu Démarrer\Programmes\PCTuto
Dossier trouvé: D:\Program Files\PCTuto
Dossier trouvé: D:\Documents and Settings\Sylvie\Application Data\Tuto4pc
Dossier trouvé: D:\Documents and Settings\Sylvie\Application Data\OfferBox
Clé trouvée: HKLM\Software\Classes\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
Clé trouvée: HKLM\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
Clé trouvée: HKLM\Software\OfferBox
Clé trouvée: HKLM\Software\PopCap
Clé trouvée: HKLM\Software\Trymedia Systems
Clé trouvée: HKCU\Software\PopCap
Clé trouvée: HKCU\Software\Tuto4pc
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PCTuto
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc
Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto
Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|UpdateTuto4PCHP
Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [4.0.1 (fr)] ****
Plugins\npornap.dll (UNISYS France)
HKLM_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
HKLM_MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 (x)
HKCU_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\AskSearch.js
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Skype extension )
HKLM_Extensions|{BBDA0591-3099-440a-AA10-41764D9DB4DB} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\
HKLM_Extensions|{2D3F3651-74B9-4795-BDEC-6DA2F431CB62} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\
-- D:\Documents and Settings\Sylvie\Application Data\Mozilla\FireFox\Profiles\25joued4.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Extensions\{EEE6C361-6118-11DC-9C72-001320C79847} (SweetIM Toolbar for Firefox)
Searchplugins\sweetim.xml (?)
Prefs.js - browser.download.lastDir, D:\\Documents and Settings\\Sylvie\\Bureau
Prefs.js - browser.search.defaultenginename, SweetIM Search
Prefs.js - browser.search.defaulturl,
Prefs.js - browser.startup.homepage, hxxp://home.sweetim.com
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.14
Prefs.js - sweetim.toolbar.previous.browser.startup.homepage, hxxp://www.google.be/ig?hl=fr
Prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename, Google
Prefs.js - browser.search.selectedEngine, SweetIM Search
Prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine,
Prefs.js - sweetim.toolbar.previous.browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
========================================
**** Internet Explorer Version [7.0.5730.11] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://home.microsoft.com/search/search.asp
HKCU_Main|SearchMigratedDefaultURL - hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
HKCU_Main|Start Page - hxxp://www.orange.fr
HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM_Main|Default_Search_URL - hxxp://home.microsoft.com/search/search.asp
HKLM_Main|Search bar - hxxp://home.microsoft.com/search/lobby/search.asp
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://www.msn.com
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} (x)
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "Ask Search" (hxxp://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTe...)
HKCU_SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420} - "Ask Search" (hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q={searchTerms}&cr...)
HKLM_SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420} - "Ask Search" (hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q={searchTerms}&cr...)
HKCU_Toolbar|{1E796980-9CC5-11D1-A83F-00C04FC99D61} (x)
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)
HKLM_ElevationPolicy\{44336A6D-D71B-11DA-8750-001185653D78} - d:\program files\google\googletoolbar2user.exe (?)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{293A63F7-C3B6-423a-9845-901AC0A7EE6E} - "PCTBHO Class" (D:\Program Files\Agence-Exclusive\pctutoBHO.dll)
BHO\{43D29D14-460E-4F3A-9037-E60F11EF12F0} - "LF3_BHO Class" (D:\WINDOWS\system32\LightFrame3IECOM.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
========================================
D:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
D:\Program Files\Ad-Remover\Backup: 1 Fichier(s)
D:\Ad-Report-SCAN[1].txt - 14/05/2011 11:37:44 (5117 Octet(s))
Fin à: 11:38:59, 14/05/2011
============== E.O.F ==============Modifié par 2266sylalb le 14/05/2011 à 11:54
Ajouter un commentaire - Modifier - Permalink (#31)
68 réponses
- 1
- 2
- 3
- 4
Le problème décrit concerne une infection détectée par AD-Remover et des traces d’outils potentiels dans le système, incluant des paramètres de navigateur et des entrées système compromettantes.
Plusieurs réponses proposent d’abord des mesures de nettoyage comme OTL, DelFix et des scans Virustotal, puis d’évacuer les clés et fichiers malveillants repérés dans Firefox et Internet Explorer.
D’autres échanges recommandent d’analyser des fichiers sensibles (par exemple des éléments système et des extensions de navigateur), puis de restaurer les paramètres par défaut du navigateur Mozilla et de vérifier les moteurs de recherche.
En cas d’échec, des pistes complémentaires évoquent la reconstruction ou la réinitialisation du MBR et la vérification des programmes associés, sans tirer de conclusions sur l’état final de l’incident.
-
1) /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
* Double-clique sur l'icône Ad-remover située sur ton Bureau.
* Sur la page, clique sur le bouton « Nettoyer »
* Confirme l'opération
* Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
aprés
2) * Télécharge ZHPDiag (de Nicolas coolman)
ICI >> ZHPDiag (de Nicolas coolman)
* Une fois le téléchargement achevé,
* double clique sur ZHPDiag.exe et suis les instructions.
* /!\Utilisateurs de Windows Vista et Windows 7
* >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
* Laisse toi guider lors de l'installation,
* coche >> créer une icône sur le bureau
* il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport
ou
ICI >> pjjoint.malekal
* Cliques sur >> Parcourir
* Trouve >> le rapport que tu viens d'enregistrer par exemple sur ton bureau
* Cliques sur >> envoyer le fichier
* Un lien te sera généré,
* il te suffit de le poster ici
Contributeur sécurité CCM -
Voici le nouveau rapport d AD REMOVER après nettoyage
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
D:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 16:38:54 le 14/05/2011, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Sylvie@ORDI-SYLVIE ( )
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [4.0.1 (fr)] ****
Plugins\npornap.dll (UNISYS France)
HKLM_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
HKLM_MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 (x)
HKCU_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Skype extension )
HKLM_Extensions|{BBDA0591-3099-440a-AA10-41764D9DB4DB} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\
HKLM_Extensions|{2D3F3651-74B9-4795-BDEC-6DA2F431CB62} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\
-- D:\Documents and Settings\Sylvie\Application Data\Mozilla\FireFox\Profiles\25joued4.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Extensions\{EEE6C361-6118-11DC-9C72-001320C79847} (SweetIM Toolbar for Firefox)
Searchplugins\sweetim.xml (?)
Prefs.js - browser.download.lastDir, D:\\Documents and Settings\\Sylvie\\Bureau
Prefs.js - browser.search.defaultenginename, SweetIM Search
Prefs.js - browser.search.defaulturl,
Prefs.js - browser.startup.homepage, hxxp://home.sweetim.com
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.14
Prefs.js - sweetim.toolbar.previous.browser.startup.homepage, hxxp://www.google.be/ig?hl=fr
Prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename, Google
Prefs.js - browser.search.selectedEngine, SweetIM Search
Prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine,
Prefs.js - sweetim.toolbar.previous.browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
========================================
**** Internet Explorer Version [7.0.5730.11] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} (x)
HKCU_Toolbar|{1E796980-9CC5-11D1-A83F-00C04FC99D61} (x)
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
HKLM_ElevationPolicy\{44336A6D-D71B-11DA-8750-001185653D78} - d:\program files\google\googletoolbar2user.exe (?)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{43D29D14-460E-4F3A-9037-E60F11EF12F0} - "LF3_BHO Class" (D:\WINDOWS\system32\LightFrame3IECOM.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
========================================
D:\Program Files\Ad-Remover\Quarantine: 27 Fichier(s)
D:\Program Files\Ad-Remover\Backup: 15 Fichier(s)
D:\Ad-Report-CLEAN[1].txt - 14/05/2011 16:10:24 (6794 Octet(s))
D:\Ad-Report-CLEAN[2].txt - 14/05/2011 16:38:58 (483 Octet(s))
D:\Ad-Report-SCAN[1].txt - 14/05/2011 11:37:44 (7378 Octet(s))
Fin à: 16:40:08, 14/05/2011
============== E.O.F ============== -
Salut
1) le rapport >> D:\Ad-Report-CLEAN[2 ].txt que tu as posté ne montre plus rien !!!!
Poste moi >> le rapport >> D:\Ad-Report-CLEAN[1].txt
* cliques >> Démarrer >> poste de travail >> Disque Local >> D:\Ad-Report-CLEAN[1].txt
une fois ce rapport posté
fais ZHPDiag comme d'écrit .
Contributeur sécurité CCM -
Et voila
http://www.cijoint.fr/cjlink.php?file=cj201105/cijEsBLLMI.txt
merci d avance -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Salut
1) le rapport >> D:\Ad-Report-CLEAN[2 ].txt que tu as posté ne montre plus rien !!!!
Poste moi >> le rapport >> D:\Ad-Report-CLEAN[1].txt
* cliques >> Démarrer >> poste de travail >> Disque Local >> D:\Ad-Report-CLEAN[1].txt
Contributeur sécurité CCM
-
Ok je me suis trompée au moment ou il m a été demander de redémarrer l ordi pour finir le nettoyage j aui cru qu il fallait relancer le nettoyage , voici le premier rapport;
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
D:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:09:57 le 14/05/2011, Mode normal
Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Sylvie@ORDI-SYLVIE ( )
============== ACTION(S) ==============
Fichier supprimé: D:\Program Files\Mozilla FireFox\Components\AskSearch.js
Dossier supprimé: D:\Documents and Settings\Sylvie\Application Data\Agence-Exclusive
Dossier supprimé: D:\Documents and Settings\Sylvie\Local Settings\Application Data\Agence-Exclusive
Dossier supprimé: D:\Program Files\Agence-Exclusive
Dossier supprimé: D:\Documents and Settings\All Users\Application Data\Trymedia
Dossier supprimé: D:\Documents and Settings\All Users\Menu Démarrer\Programmes\PCTuto
Dossier supprimé: D:\Program Files\PCTuto
Dossier supprimé: D:\Documents and Settings\Sylvie\Application Data\Tuto4pc
Dossier supprimé: D:\Documents and Settings\Sylvie\Application Data\OfferBox
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
Clé supprimée: HKLM\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKLM\Software\PopCap
Clé supprimée: HKLM\Software\Trymedia Systems
Clé supprimée: HKCU\Software\PopCap
Clé supprimée: HKCU\Software\Tuto4pc
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PCTuto
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto
Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|UpdateTuto4PCHP
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
============== SCAN ADDITIONNEL ==============
**** Mozilla Firefox Version [4.0.1 (fr)] ****
Plugins\npornap.dll (UNISYS France)
HKLM_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
HKLM_MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 (x)
HKCU_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Skype extension )
HKLM_Extensions|{BBDA0591-3099-440a-AA10-41764D9DB4DB} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\
HKLM_Extensions|{2D3F3651-74B9-4795-BDEC-6DA2F431CB62} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\
-- D:\Documents and Settings\Sylvie\Application Data\Mozilla\FireFox\Profiles\25joued4.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Extensions\{EEE6C361-6118-11DC-9C72-001320C79847} (SweetIM Toolbar for Firefox)
Searchplugins\sweetim.xml (?)
Prefs.js - browser.download.lastDir, D:\\Documents and Settings\\Sylvie\\Bureau
Prefs.js - browser.search.defaultenginename, SweetIM Search
Prefs.js - browser.search.defaulturl,
Prefs.js - browser.startup.homepage, hxxp://home.sweetim.com
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.14
Prefs.js - sweetim.toolbar.previous.browser.startup.homepage, hxxp://www.google.be/ig?hl=fr
Prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename, Google
Prefs.js - browser.search.selectedEngine, SweetIM Search
Prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine,
Prefs.js - sweetim.toolbar.previous.browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
========================================
**** Internet Explorer Version [7.0.5730.11] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} (x)
HKCU_Toolbar|{1E796980-9CC5-11D1-A83F-00C04FC99D61} (x)
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
HKLM_ElevationPolicy\{44336A6D-D71B-11DA-8750-001185653D78} - d:\program files\google\googletoolbar2user.exe (?)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{43D29D14-460E-4F3A-9037-E60F11EF12F0} - "LF3_BHO Class" (D:\WINDOWS\system32\LightFrame3IECOM.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
========================================
D:\Program Files\Ad-Remover\Quarantine: 27 Fichier(s)
D:\Program Files\Ad-Remover\Backup: 14 Fichier(s)
D:\Ad-Report-CLEAN[1].txt - 14/05/2011 16:10:24 (4909 Octet(s))
D:\Ad-Report-SCAN[1].txt - 14/05/2011 11:37:44 (7378 Octet(s))
Fin à: 16:12:16, 14/05/2011
============== E.O.F ============== -
Re
ok !!!
1) /!\ ZHPFix /!\
* ferme toutes les applications ouvertes.
* Copies tout le texte présent en gras dans l'encadré ci-dessous
*( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )
============================================
M3 - MFPP: Plugins - [Sylvie] -- D:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\242p9aed.SYLVIE\searchplugins\sweetim.xml
M3 - MFPP: Plugins - [Sylvie] -- D:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\25joued4.default\searchplugins\sweetim.xml
M0 - MFSP: prefs.js [Sylvie - 25joued4.default] http://home.sweetim.com
M2 - MFEP: prefs.js [Sylvie - 242p9aed.SYLVIE\{EEE6C361-6118-11DC-9C72-001320C79847}] [] SweetIM Toolbar for Firefox v1.2.0.2 (.SweetIM Technologies LTD..)
M2 - MFEP: prefs.js [Sylvie - 25joued4.default\{EEE6C361-6118-11DC-9C72-001320C79847}] [] SweetIM Toolbar for Firefox v1.2.0.2 (.SweetIM Technologies LTD..)
O4 - HKLM\..\Run: [autoupdater] D:\Documents and Settings\Sylvie\Application Data\Agence-Exclusive\Agence-Exclusive\autoupdater.exe (.not file.)
O23 - Service: Windows Presentation Foundation Font Cache 4.0.0.0 (WPFFontCache_v0400) - Clé orpheline
O41 - Driver: (PCLEPCI) . (. - .) - D:\WINDOWS\system32\drivers\pclepci.sys (.not file.)
O42 - Logiciel: PcTuto 1.1 - (.Agence-Exclusive.) [HKLM] -- PcTuto_is1
O42 - Logiciel: Tuto Skype1.0.0.0 - (.PCTuto.) [HKLM] -- Tuto Skype_is1
[HKCU\Software\Agence-Exclusive]
[HKCU\Software\PCTuto]
[HKLM\Software\Agence-Exclusive]
[HKLM\Software\ImInstaller]
[HKLM\Software\PCTuto]
O51 - MPSK:{d9a827b9-f579-11dc-a13b-0013d4ed13bd}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\WINDOWS\system32\Sys.exe (.not file.)
O64 - Services: CurCS - (.not file.) - (.not file.) - Norton Internet Security (NIS) .(...) - LEGACY_NIS
[HKCR\PCTutoBHO.PCTBHO]
[HKCR\PCTutoBHO.PCTBHO.1]
[HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}] [HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[HKCU\Software\Agence-Exclusive]
[HKLM\Software\Agence-Exclusive]
[HKLM\Software\ImInstaller]
[HKCU\Software\PCTuto]
[HKLM\Software\PCTuto]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1]
EmptyFlash
Emptytemp
============================================
* Double Clique sur l'icone ZhpFix du bureau pour le lancer ( l icone en forme de seringue) .
* Utilisateurs de Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
* Une fois l'outil ZHPFix ouvert ,
* clique sur le bouton [ H ] ==> Image ( "coller les lignes Helper" ) .
* Dans l'encadré principal
* tu verras donc les lignes que tu as copié précédemment apparaitre .
* Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
* cliques >> sur le Bouton " GO "
* colle le rapport obtenu .
Contributeur sécurité CCM -
Voila
Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
Fichier d'export Registre : D:\ZHPExportRegistry-14-05-2011-18-12-11.txt
Run by Sylvie at 14/05/2011 18:12:11
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
O42 - Logiciel: PcTuto 1.1 - (.Agence-Exclusive.) [HKLM] -- PcTuto_is1 => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
O42 - Logiciel: Tuto Skype1.0.0.0 - (.PCTuto.) [HKLM] -- Tuto Skype_is1 => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
O23 - Service: Windows Presentation Foundation Font Cache 4.0.0.0 (WPFFontCache_v0400) - Clé orpheline => Clé supprimée avec succès
O41 - Driver: (PCLEPCI) . (. - .) - D:\WINDOWS\system32\drivers\pclepci.sys (.not file.) => Clé supprimée avec succès
HKCU\Software\Agence-Exclusive => Clé supprimée avec succès
HKCU\Software\PCTuto => Clé supprimée avec succès
HKLM\Software\Agence-Exclusive => Clé supprimée avec succès
HKLM\Software\ImInstaller => Clé supprimée avec succès
HKLM\Software\PCTuto => Clé supprimée avec succès
O51 - MPSK:{d9a827b9-f579-11dc-a13b-0013d4ed13bd}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\WINDOWS\system32\Sys.exe (.not file.) => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - (.not file.) - Norton Internet Security (NIS) .(...) - LEGACY_NIS => Clé supprimée avec succès
HKCR\PCTutoBHO.PCTBHO => Clé supprimée avec succès
HKCR\PCTutoBHO.PCTBHO.1 => Clé supprimée avec succès
HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} [HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} => Clé absente
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} => Clé supprimée avec succès
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1 => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [autoupdater] D:\Documents and Settings\Sylvie\Application Data\Agence-Exclusive\Agence-Exclusive\autoupdater.exe (.not file.) => Valeur supprimée avec succès
========== Préférences navigateur ==========
M0 - MFSP: prefs.js [Sylvie - 25joued4.default] https://home.sweetim.com/ => Valeur supprimée avec succès
M0 - MFSP: prefs.js [Sylvie - 25joued4.default] https://home.sweetim.com/ => Valeur supprimée avec succès
========== Dossier(s) ==========
D:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\242p9aed.SYLVIE\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} => Supprimé et mis en quarantaine
D:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\25joued4.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} => Supprimé et mis en quarantaine
Dossiers Flash Cookies supprimés : 308
Dossiers temporaires Windows supprimés: 180
========== Fichier(s) ==========
d:\documents and settings\sylvie\application data\mozilla\firefox\profiles\242p9aed.sylvie\searchplugins\sweetim.xml => Supprimé et mis en quarantaine
d:\documents and settings\sylvie\application data\mozilla\firefox\profiles\25joued4.default\searchplugins\sweetim.xml => Supprimé et mis en quarantaine
d:\documents and settings\sylvie\application data\agence-exclusive\agence-exclusive\autoupdater.exe => Fichier absent
Fichiers Flash Cookies supprimés : 100
Fichiers temporaires Windows supprimés : 40
========== Récapitulatif ==========
17 : Clé(s) du Registre
1 : Valeur(s) du Registre
4 : Dossier(s)
5 : Fichier(s)
2 : Préférences navigateur
End of the scan -
Re
1) Comment va ton PC maintenant ??
2) * Télécharge OTL (de OldTimer) sur ton Bureau.
>> OTL (de OldTimer)
* Utilisateurs Windows XP => double clique >>sur OTL.exe
* Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur OTL.exe pour le lancer.
coches les cases lop & purity check ainsi que en haut Tous les Utilisateurs et minimal output
Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous >> Personalisation :
SAVEMBR:0
CREATERESTOREPOINT
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le rapport >> OTL.Txt sur ce site,
>> Cijoint.fr
* puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
* Pour t aider ,pour heberger le rapport
* rends toi sur Cijoint.fr
* clic sur Parcourir
* trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
* et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
* un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
* il te suffit de le poster ici pour que je puisse voir le rapport
* fais aprés de même avec le rapport >> Extras.Txt
ensuite
* Un fichier >>> c:\PhysicalMBR.bin est crée en >> c:\
* Analyse le sur Virustotal :
* Rends toi sur >> Virustotal
* ICI >>Virustotal
* * Clique sur Parcourir en haut, cherche ce fichier :c:\PhysicalMBR.bin
* Clique maintenant sur >> Send file. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée * Une nouvelle fenêtre de ton navigateur va apparaître
poste le résultat >> en collant l'url de la page du résultat (barre d'adresse).
Ou en cliquant sur >> View last report et fais un copié/collé du rapport
Contributeur sécurité CCM -
Voila Olt TXT
http://www.cijoint.fr/cjlink.php?file=cj201105/cijK1hfudm.txt -
Et extra txt:http://www.cijoint.fr/cjlink.php?file=cj201105/cijfijvrTW.txt
Encore merci -
Je ne trouve pas le fichier :Un fichier >>> c:\PhysicalMBR.bin est crée en >> c:\
-
Re
Sinon regarde voir
Cliques sur Démarrer >> Poste de travail >> c:\PhysicalMBR.bin
Contributeur sécurité CCM -
Désolée, je ne trouve pas ce fichier même en utilisant la fonction rechercher dans démarrer
-
Re
Excuse tu es en >> D:\
Cliques sur Démarrer >> Poste de travail >> d:\PhysicalMBR.bin
Il devrai y être !! j ai vérifié sous un de mes PC en XP
Contributeur sécurité CCM -
En fait j ai fini par trouver 1 fichier d un ko quand je clique dessus il lance un sacnne et me marque malware nothing found
Heuristic :nothing found
Mais impossible de copier coller -
Re
Oui mais en >> en collant l'url de la page du résultat (barre d'adresse).
Contributeur sécurité CCM -
Ah oui j avais oublié cette étape est ce que c est cela:
http://www.virustotal.com/file-scan/report.html?id=3ca56844e8376af6295d87cf9b9574422eba8a0c964c629d186c077fb7c33360-1305393993 -
Salut
ok !!
* tu ne m' as toujours pas dis >> Comment va ton PC ??
1)*Rends toi sur >> Virustotal
* ICI >>Virustotal
Fais analyser ce fichier
D:\WINDOWS\popcinfo.dat
* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
* PS
* Sinon >> Colle directement le chemin du fichier ,
dans l'espace>> " Parcourir " :
* Clique maintenant sur >> Send file. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée * Une nouvelle fenêtre de ton navigateur va apparaître
poste le résultat >> en collant l'url de la page du résultat (barre d'adresse).
Ou en cliquant sur >> View last report et fais un copié/collé du rapport
Ensuite fais de même avec et un par un ,bien sur
D:\WINDOWS\eReg.dat
D:\WINDOWS\aucfg.ini
D:\WINDOWS\npornap.INI
D:\WINDOWS\d3dx.dat
D:\WINDOWS\jestertb.dll
ou
* * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :
Contributeur sécurité CCM -
Mon pc se porte a merveille .Merci beaucoup
http://www.virustotal.com/file-scan/report.html?id=b57d46488b1ef0287fe598a7d2019a263ce59e98cb53ea80ec65cd33fbfbe64b-1305396415
- 1
- 2
- 3
- 4