Publicite intempestive et ordi qui rame

Résolu
2266sylalb Messages postés 46 Statut Membre -  
2266sylalb Messages postés 46 Statut Membre -
Bonjour ,

ayant le même problème que Jeff je me permets de poster mon rapport AD

REMOVER est ce quelqu'un peut m aider ,merci.

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

D:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 11:37:34 le 14/05/2011, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Sylvie@ORDI-SYLVIE ( )

============== RECHERCHE ==============

Fichier trouvé: D:\Program Files\Mozilla FireFox\Components\AskSearch.js
Dossier trouvé: D:\Documents and Settings\Sylvie\Application Data\Agence-Exclusive
Dossier trouvé: D:\Documents and Settings\Sylvie\Local Settings\Application Data\Agence-Exclusive
Dossier trouvé: D:\Program Files\Agence-Exclusive
Dossier trouvé: D:\Documents and Settings\All Users\Application Data\Trymedia
Dossier trouvé: D:\Documents and Settings\All Users\Menu Démarrer\Programmes\PCTuto
Dossier trouvé: D:\Program Files\PCTuto
Dossier trouvé: D:\Documents and Settings\Sylvie\Application Data\Tuto4pc
Dossier trouvé: D:\Documents and Settings\Sylvie\Application Data\OfferBox

Clé trouvée: HKLM\Software\Classes\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
Clé trouvée: HKLM\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
Clé trouvée: HKLM\Software\OfferBox
Clé trouvée: HKLM\Software\PopCap
Clé trouvée: HKLM\Software\Trymedia Systems
Clé trouvée: HKCU\Software\PopCap
Clé trouvée: HKCU\Software\Tuto4pc
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PCTuto
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
Valeur trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc
Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto
Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|UpdateTuto4PCHP
Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0.1 (fr)] ****

Plugins\npornap.dll (UNISYS France)
HKLM_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
HKLM_MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 (x)
HKCU_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
Searchplugins\bing.xml ( hxxp://www.bing.com/search)
Components\AskSearch.js
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Skype extension )
HKLM_Extensions|{BBDA0591-3099-440a-AA10-41764D9DB4DB} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\
HKLM_Extensions|{2D3F3651-74B9-4795-BDEC-6DA2F431CB62} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\

-- D:\Documents and Settings\Sylvie\Application Data\Mozilla\FireFox\Profiles\25joued4.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Extensions\{EEE6C361-6118-11DC-9C72-001320C79847} (SweetIM Toolbar for Firefox)
Searchplugins\sweetim.xml (?)
Prefs.js - browser.download.lastDir, D:\\Documents and Settings\\Sylvie\\Bureau
Prefs.js - browser.search.defaultenginename, SweetIM Search
Prefs.js - browser.search.defaulturl,
Prefs.js - browser.startup.homepage, hxxp://home.sweetim.com
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.14
Prefs.js - sweetim.toolbar.previous.browser.startup.homepage, hxxp://www.google.be/ig?hl=fr
Prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename, Google
Prefs.js - browser.search.selectedEngine, SweetIM Search
Prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine,
Prefs.js - sweetim.toolbar.previous.browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

========================================

**** Internet Explorer Version [7.0.5730.11] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://home.microsoft.com/search/search.asp
HKCU_Main|SearchMigratedDefaultURL - hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
HKCU_Main|Start Page - hxxp://www.orange.fr
HKLM_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKLM_Main|Default_Search_URL - hxxp://home.microsoft.com/search/search.asp
HKLM_Main|Search bar - hxxp://home.microsoft.com/search/lobby/search.asp
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://www.msn.com
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} (x)
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "Ask Search" (hxxp://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=crm&q={searchTe...)
HKCU_SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420} - "Ask Search" (hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q={searchTerms}&cr...)
HKLM_SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420} - "Ask Search" (hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q={searchTerms}&cr...)
HKCU_Toolbar|{1E796980-9CC5-11D1-A83F-00C04FC99D61} (x)
HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)
HKLM_ElevationPolicy\{44336A6D-D71B-11DA-8750-001185653D78} - d:\program files\google\googletoolbar2user.exe (?)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{293A63F7-C3B6-423a-9845-901AC0A7EE6E} - "PCTBHO Class" (D:\Program Files\Agence-Exclusive\pctutoBHO.dll)
BHO\{43D29D14-460E-4F3A-9037-E60F11EF12F0} - "LF3_BHO Class" (D:\WINDOWS\system32\LightFrame3IECOM.dll)
BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

========================================

D:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
D:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

D:\Ad-Report-SCAN[1].txt - 14/05/2011 11:37:44 (5117 Octet(s))

Fin à: 11:38:59, 14/05/2011

============== E.O.F ==============Modifié par 2266sylalb le 14/05/2011 à 11:54

Ajouter un commentaire - Modifier - Permalink (#31)

68 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Le problème décrit concerne une infection détectée par AD-Remover et des traces d’outils potentiels dans le système, incluant des paramètres de navigateur et des entrées système compromettantes.
Plusieurs réponses proposent d’abord des mesures de nettoyage comme OTL, DelFix et des scans Virustotal, puis d’évacuer les clés et fichiers malveillants repérés dans Firefox et Internet Explorer.
D’autres échanges recommandent d’analyser des fichiers sensibles (par exemple des éléments système et des extensions de navigateur), puis de restaurer les paramètres par défaut du navigateur Mozilla et de vérifier les moteurs de recherche.
En cas d’échec, des pistes complémentaires évoquent la reconstruction ou la réinitialisation du MBR et la vérification des programmes associés, sans tirer de conclusions sur l’état final de l’incident.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    1) /!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

    * Double-clique sur l'icône Ad-remover située sur ton Bureau.
    * Sur la page, clique sur le bouton « Nettoyer »
    * Confirme l'opération
    * Poste le rapport qui apparaît à la fin.
    * (Le rapport est sauvegardé aussi sous C:\Ad-report.)
    * (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    aprés

    2) * Télécharge ZHPDiag (de Nicolas coolman)

    ICI >> ZHPDiag (de Nicolas coolman)

    * Une fois le téléchargement achevé,
    * double clique sur ZHPDiag.exe et suis les instructions.
    * /!\Utilisateurs de Windows Vista et Windows 7
    * >> Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
    * Laisse toi guider lors de l'installation,
    * coche >> créer une icône sur le bureau
    * il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    ou

    ICI >> pjjoint.malekal
    * Cliques sur >> Parcourir
    * Trouve >> le rapport que tu viens d'enregistrer par exemple sur ton bureau
    * Cliques sur >> envoyer le fichier
    * Un lien te sera généré,
    * il te suffit de le poster ici

    Contributeur sécurité CCM
    0
  2. 2266sylalb Messages postés 46 Statut Membre
     
    Voici le nouveau rapport d AD REMOVER après nettoyage
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    D:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 16:38:54 le 14/05/2011, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    Sylvie@ORDI-SYLVIE ( )

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [4.0.1 (fr)] ****

    Plugins\npornap.dll (UNISYS France)
    HKLM_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
    HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
    HKLM_MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 (x)
    HKCU_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
    Searchplugins\bing.xml ( hxxp://www.bing.com/search)
    Components\browsercomps.dll (Mozilla Foundation)
    Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Skype extension )
    HKLM_Extensions|{BBDA0591-3099-440a-AA10-41764D9DB4DB} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\
    HKLM_Extensions|{2D3F3651-74B9-4795-BDEC-6DA2F431CB62} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\

    -- D:\Documents and Settings\Sylvie\Application Data\Mozilla\FireFox\Profiles\25joued4.default --
    Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
    Extensions\{EEE6C361-6118-11DC-9C72-001320C79847} (SweetIM Toolbar for Firefox)
    Searchplugins\sweetim.xml (?)
    Prefs.js - browser.download.lastDir, D:\\Documents and Settings\\Sylvie\\Bureau
    Prefs.js - browser.search.defaultenginename, SweetIM Search
    Prefs.js - browser.search.defaulturl,
    Prefs.js - browser.startup.homepage, hxxp://home.sweetim.com
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.14
    Prefs.js - sweetim.toolbar.previous.browser.startup.homepage, hxxp://www.google.be/ig?hl=fr
    Prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename, Google
    Prefs.js - browser.search.selectedEngine, SweetIM Search
    Prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine,
    Prefs.js - sweetim.toolbar.previous.browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

    ========================================

    **** Internet Explorer Version [7.0.5730.11] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} (x)
    HKCU_Toolbar|{1E796980-9CC5-11D1-A83F-00C04FC99D61} (x)
    HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
    HKLM_ElevationPolicy\{44336A6D-D71B-11DA-8750-001185653D78} - d:\program files\google\googletoolbar2user.exe (?)
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{43D29D14-460E-4F3A-9037-E60F11EF12F0} - "LF3_BHO Class" (D:\WINDOWS\system32\LightFrame3IECOM.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    D:\Program Files\Ad-Remover\Quarantine: 27 Fichier(s)
    D:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    D:\Ad-Report-CLEAN[1].txt - 14/05/2011 16:10:24 (6794 Octet(s))
    D:\Ad-Report-CLEAN[2].txt - 14/05/2011 16:38:58 (483 Octet(s))
    D:\Ad-Report-SCAN[1].txt - 14/05/2011 11:37:44 (7378 Octet(s))

    Fin à: 16:40:08, 14/05/2011

    ============== E.O.F ==============
    0
  3. Utilisateur anonyme
     
    Salut

    1) le rapport >> D:\Ad-Report-CLEAN[2 ].txt que tu as posté ne montre plus rien !!!!
    Poste moi >> le rapport >> D:\Ad-Report-CLEAN[1].txt
    * cliques >> Démarrer >> poste de travail >> Disque Local >> D:\Ad-Report-CLEAN[1].txt

    une fois ce rapport posté

    fais ZHPDiag comme d'écrit .

    Contributeur sécurité CCM
    0
  4. 2266sylalb Messages postés 46 Statut Membre
     
    Et voila

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijEsBLLMI.txt

    merci d avance
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Salut

    1) le rapport >> D:\Ad-Report-CLEAN[2 ].txt que tu as posté ne montre plus rien !!!!
    Poste moi >> le rapport >> D:\Ad-Report-CLEAN[1].txt
    * cliques >> Démarrer >> poste de travail >> Disque Local >> D:\Ad-Report-CLEAN[1].txt

    Contributeur sécurité CCM
    0
  7. 2266sylalb Messages postés 46 Statut Membre
     
    Ok je me suis trompée au moment ou il m a été demander de redémarrer l ordi pour finir le nettoyage j aui cru qu il fallait relancer le nettoyage , voici le premier rapport;
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    D:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:09:57 le 14/05/2011, Mode normal

    Microsoft Windows XP Édition familiale Service Pack 3 (X86)
    Sylvie@ORDI-SYLVIE ( )

    ============== ACTION(S) ==============

    Fichier supprimé: D:\Program Files\Mozilla FireFox\Components\AskSearch.js
    Dossier supprimé: D:\Documents and Settings\Sylvie\Application Data\Agence-Exclusive
    Dossier supprimé: D:\Documents and Settings\Sylvie\Local Settings\Application Data\Agence-Exclusive
    Dossier supprimé: D:\Program Files\Agence-Exclusive
    Dossier supprimé: D:\Documents and Settings\All Users\Application Data\Trymedia
    Dossier supprimé: D:\Documents and Settings\All Users\Menu Démarrer\Programmes\PCTuto
    Dossier supprimé: D:\Program Files\PCTuto
    Dossier supprimé: D:\Documents and Settings\Sylvie\Application Data\Tuto4pc
    Dossier supprimé: D:\Documents and Settings\Sylvie\Application Data\OfferBox

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\CLSID\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{293A63F7-C3B6-423a-9845-901AC0A7EE6E}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{0BF73E27-2734-4F7B-925A-4BBB1457F5FA}
    Clé supprimée: HKLM\Software\OfferBox
    Clé supprimée: HKLM\Software\PopCap
    Clé supprimée: HKLM\Software\Trymedia Systems
    Clé supprimée: HKCU\Software\PopCap
    Clé supprimée: HKCU\Software\Tuto4pc
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\PCTuto
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo jimddp
    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo hpfanicgkffmccehnpkikogcffaepkfp
    Valeur supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing\Trust Database\0|goicfboogidikkejccmclpieicihhlpo dgnckdmmolaijpbbakmplfhlfpdhglgc
    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|PCTuto
    Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|UpdateTuto4PCHP
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [4.0.1 (fr)] ****

    Plugins\npornap.dll (UNISYS France)
    HKLM_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
    HKLM_MozillaPlugins\@zylom.com/ZylomGamesPlayer (x)
    HKLM_MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 (x)
    HKCU_MozillaPlugins\@neulion.com/npadaptiveplugin (x)
    Searchplugins\bing.xml ( hxxp://www.bing.com/search)
    Components\browsercomps.dll (Mozilla Foundation)
    Extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} (Skype extension )
    HKLM_Extensions|{BBDA0591-3099-440a-AA10-41764D9DB4DB} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\
    HKLM_Extensions|{2D3F3651-74B9-4795-BDEC-6DA2F431CB62} - D:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\

    -- D:\Documents and Settings\Sylvie\Application Data\Mozilla\FireFox\Profiles\25joued4.default --
    Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
    Extensions\{EEE6C361-6118-11DC-9C72-001320C79847} (SweetIM Toolbar for Firefox)
    Searchplugins\sweetim.xml (?)
    Prefs.js - browser.download.lastDir, D:\\Documents and Settings\\Sylvie\\Bureau
    Prefs.js - browser.search.defaultenginename, SweetIM Search
    Prefs.js - browser.search.defaulturl,
    Prefs.js - browser.startup.homepage, hxxp://home.sweetim.com
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.0.14
    Prefs.js - sweetim.toolbar.previous.browser.startup.homepage, hxxp://www.google.be/ig?hl=fr
    Prefs.js - sweetim.toolbar.previous.browser.search.defaultenginename, Google
    Prefs.js - browser.search.selectedEngine, SweetIM Search
    Prefs.js - sweetim.toolbar.previous.browser.search.selectedEngine,
    Prefs.js - sweetim.toolbar.previous.browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

    ========================================

    **** Internet Explorer Version [7.0.5730.11] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} (x)
    HKCU_Toolbar|{1E796980-9CC5-11D1-A83F-00C04FC99D61} (x)
    HKCU_Toolbar\WebBrowser|{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} (x)
    HKLM_ElevationPolicy\{44336A6D-D71B-11DA-8750-001185653D78} - d:\program files\google\googletoolbar2user.exe (?)
    HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    BHO\{43D29D14-460E-4F3A-9037-E60F11EF12F0} - "LF3_BHO Class" (D:\WINDOWS\system32\LightFrame3IECOM.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)

    ========================================

    D:\Program Files\Ad-Remover\Quarantine: 27 Fichier(s)
    D:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

    D:\Ad-Report-CLEAN[1].txt - 14/05/2011 16:10:24 (4909 Octet(s))
    D:\Ad-Report-SCAN[1].txt - 14/05/2011 11:37:44 (7378 Octet(s))

    Fin à: 16:12:16, 14/05/2011

    ============== E.O.F ==============
    0
  8. Utilisateur anonyme
     
    Re

    ok !!!

    1) /!\ ZHPFix /!\

    * ferme toutes les applications ouvertes.
    * Copies tout le texte présent en gras dans l'encadré ci-dessous
    *( tu le selectionnes avec ta souris >> Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    ============================================

    M3 - MFPP: Plugins - [Sylvie] -- D:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\242p9aed.SYLVIE\searchplugins\sweetim.xml
    M3 - MFPP: Plugins - [Sylvie] -- D:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\25joued4.default\searchplugins\sweetim.xml
    M0 - MFSP: prefs.js [Sylvie - 25joued4.default] http://home.sweetim.com
    M2 - MFEP: prefs.js [Sylvie - 242p9aed.SYLVIE\{EEE6C361-6118-11DC-9C72-001320C79847}] [] SweetIM Toolbar for Firefox v1.2.0.2 (.SweetIM Technologies LTD..)
    M2 - MFEP: prefs.js [Sylvie - 25joued4.default\{EEE6C361-6118-11DC-9C72-001320C79847}] [] SweetIM Toolbar for Firefox v1.2.0.2 (.SweetIM Technologies LTD..)
    O4 - HKLM\..\Run: [autoupdater] D:\Documents and Settings\Sylvie\Application Data\Agence-Exclusive\Agence-Exclusive\autoupdater.exe (.not file.)
    O23 - Service: Windows Presentation Foundation Font Cache 4.0.0.0 (WPFFontCache_v0400) - Clé orpheline
    O41 - Driver: (PCLEPCI) . (. - .) - D:\WINDOWS\system32\drivers\pclepci.sys (.not file.)
    O42 - Logiciel: PcTuto 1.1 - (.Agence-Exclusive.) [HKLM] -- PcTuto_is1
    O42 - Logiciel: Tuto Skype1.0.0.0 - (.PCTuto.) [HKLM] -- Tuto Skype_is1
    [HKCU\Software\Agence-Exclusive]
    [HKCU\Software\PCTuto]
    [HKLM\Software\Agence-Exclusive]
    [HKLM\Software\ImInstaller]
    [HKLM\Software\PCTuto]
    O51 - MPSK:{d9a827b9-f579-11dc-a13b-0013d4ed13bd}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\WINDOWS\system32\Sys.exe (.not file.)
    O64 - Services: CurCS - (.not file.) - (.not file.) - Norton Internet Security (NIS) .(...) - LEGACY_NIS
    [HKCR\PCTutoBHO.PCTBHO]
    [HKCR\PCTutoBHO.PCTBHO.1]
    [HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}] [HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
    [HKCU\Software\Agence-Exclusive]
    [HKLM\Software\Agence-Exclusive]
    [HKLM\Software\ImInstaller]
    [HKCU\Software\PCTuto]
    [HKLM\Software\PCTuto]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1]

    EmptyFlash
    Emptytemp


    ============================================

    * Double Clique sur l'icone ZhpFix du bureau pour le lancer ( l icone en forme de seringue) .
    * Utilisateurs de Windows7/Vista >> Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
    * Une fois l'outil ZHPFix ouvert ,

    * clique sur le bouton [ H ] ==> Image ( "coller les lignes Helper" ) .

    * Dans l'encadré principal
    * tu verras donc les lignes que tu as copié précédemment apparaitre .
    * Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    * cliques >> sur le Bouton " GO "
    * colle le rapport obtenu .

    Contributeur sécurité CCM
    0
  9. 2266sylalb Messages postés 46 Statut Membre
     
    Voila
    Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011
    Fichier d'export Registre : D:\ZHPExportRegistry-14-05-2011-18-12-11.txt
    Run by Sylvie at 14/05/2011 18:12:11
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    O42 - Logiciel: PcTuto 1.1 - (.Agence-Exclusive.) [HKLM] -- PcTuto_is1 => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
    O42 - Logiciel: Tuto Skype1.0.0.0 - (.PCTuto.) [HKLM] -- Tuto Skype_is1 => Désinstallation logicielle annulée par l'utilisateur ou désinstallation partielle!
    O23 - Service: Windows Presentation Foundation Font Cache 4.0.0.0 (WPFFontCache_v0400) - Clé orpheline => Clé supprimée avec succès
    O41 - Driver: (PCLEPCI) . (. - .) - D:\WINDOWS\system32\drivers\pclepci.sys (.not file.) => Clé supprimée avec succès
    HKCU\Software\Agence-Exclusive => Clé supprimée avec succès
    HKCU\Software\PCTuto => Clé supprimée avec succès
    HKLM\Software\Agence-Exclusive => Clé supprimée avec succès
    HKLM\Software\ImInstaller => Clé supprimée avec succès
    HKLM\Software\PCTuto => Clé supprimée avec succès
    O51 - MPSK:{d9a827b9-f579-11dc-a13b-0013d4ed13bd}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- D:\WINDOWS\system32\Sys.exe (.not file.) => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - (.not file.) - Norton Internet Security (NIS) .(...) - LEGACY_NIS => Clé supprimée avec succès
    HKCR\PCTutoBHO.PCTBHO => Clé supprimée avec succès
    HKCR\PCTutoBHO.PCTBHO.1 => Clé supprimée avec succès
    HKCR\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} [HKLM\Software\Classes\Interface\{E2ED56B6-35FC-4484-9530-EC87FB458E78} => Clé absente
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847} => Clé supprimée avec succès
    HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} => Clé supprimée avec succès
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\PcTuto_is1 => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [autoupdater] D:\Documents and Settings\Sylvie\Application Data\Agence-Exclusive\Agence-Exclusive\autoupdater.exe (.not file.) => Valeur supprimée avec succès

    ========== Préférences navigateur ==========
    M0 - MFSP: prefs.js [Sylvie - 25joued4.default] https://home.sweetim.com/ => Valeur supprimée avec succès
    M0 - MFSP: prefs.js [Sylvie - 25joued4.default] https://home.sweetim.com/ => Valeur supprimée avec succès

    ========== Dossier(s) ==========
    D:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\242p9aed.SYLVIE\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} => Supprimé et mis en quarantaine
    D:\Documents and Settings\Sylvie\Application Data\Mozilla\Firefox\Profiles\25joued4.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} => Supprimé et mis en quarantaine
    Dossiers Flash Cookies supprimés : 308
    Dossiers temporaires Windows supprimés: 180

    ========== Fichier(s) ==========
    d:\documents and settings\sylvie\application data\mozilla\firefox\profiles\242p9aed.sylvie\searchplugins\sweetim.xml => Supprimé et mis en quarantaine
    d:\documents and settings\sylvie\application data\mozilla\firefox\profiles\25joued4.default\searchplugins\sweetim.xml => Supprimé et mis en quarantaine
    d:\documents and settings\sylvie\application data\agence-exclusive\agence-exclusive\autoupdater.exe => Fichier absent
    Fichiers Flash Cookies supprimés : 100
    Fichiers temporaires Windows supprimés : 40

    ========== Récapitulatif ==========
    17 : Clé(s) du Registre
    1 : Valeur(s) du Registre
    4 : Dossier(s)
    5 : Fichier(s)
    2 : Préférences navigateur

    End of the scan
    0
  10. Utilisateur anonyme
     
    Re

    1) Comment va ton PC maintenant ??

    2) * Télécharge OTL (de OldTimer) sur ton Bureau.

    >> OTL (de OldTimer)

    * Utilisateurs Windows XP => double clique >>sur OTL.exe
    * Utilisateurs Windows Vista / windows 7 => clic droit "executer en tant que en tant qu'administrateur "sur OTL.exe pour le lancer.

    coches les cases lop & purity check ainsi que en haut Tous les Utilisateurs et minimal output

    Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous >> Personalisation :


    SAVEMBR:0
    CREATERESTOREPOINT



    * Cliques sur l'icône "Analyse" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

    * Héberge le rapport >> OTL.Txt sur ce site,
    >> Cijoint.fr
    * puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    * Pour t aider ,pour heberger le rapport
    * rends toi sur Cijoint.fr
    * clic sur Parcourir
    * trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
    * et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
    * un lien de ce genre http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt te sera généré,
    * il te suffit de le poster ici pour que je puisse voir le rapport

    * fais aprés de même avec le rapport >> Extras.Txt

    ensuite

    * Un fichier >>> c:\PhysicalMBR.bin est crée en >> c:\
    * Analyse le sur Virustotal :

    * Rends toi sur >> Virustotal
    * ICI >>Virustotal
    * * Clique sur Parcourir en haut, cherche ce fichier :c:\PhysicalMBR.bin

    * Clique maintenant sur >> Send file. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée * Une nouvelle fenêtre de ton navigateur va apparaître
    poste le résultat >> en collant l'url de la page du résultat (barre d'adresse).
    Ou en cliquant sur >> View last report et fais un copié/collé du rapport

    Contributeur sécurité CCM
    0
  11. 2266sylalb Messages postés 46 Statut Membre
     
    Voila Olt TXT

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijK1hfudm.txt
    0
  12. 2266sylalb Messages postés 46 Statut Membre
     
    Et extra txt:http://www.cijoint.fr/cjlink.php?file=cj201105/cijfijvrTW.txt

    Encore merci
    0
  13. 2266sylalb Messages postés 46 Statut Membre
     
    Je ne trouve pas le fichier :Un fichier >>> c:\PhysicalMBR.bin est crée en >> c:\
    0
  14. Utilisateur anonyme
     
    Re

    Sinon regarde voir

    Cliques sur Démarrer >> Poste de travail >> c:\PhysicalMBR.bin

    Contributeur sécurité CCM
    0
  15. 2266sylalb Messages postés 46 Statut Membre
     
    Désolée, je ne trouve pas ce fichier même en utilisant la fonction rechercher dans démarrer
    0
  16. Utilisateur anonyme
     
    Re

    Excuse tu es en >> D:\

    Cliques sur Démarrer >> Poste de travail >> d:\PhysicalMBR.bin

    Il devrai y être !! j ai vérifié sous un de mes PC en XP

    Contributeur sécurité CCM
    0
  17. 2266sylalb Messages postés 46 Statut Membre
     
    En fait j ai fini par trouver 1 fichier d un ko quand je clique dessus il lance un sacnne et me marque malware nothing found
    Heuristic :nothing found
    Mais impossible de copier coller
    0
  18. Utilisateur anonyme
     
    Re

    Oui mais en >> en collant l'url de la page du résultat (barre d'adresse).

    Contributeur sécurité CCM
    0
  19. 2266sylalb Messages postés 46 Statut Membre
     
    Ah oui j avais oublié cette étape est ce que c est cela:
    http://www.virustotal.com/file-scan/report.html?id=3ca56844e8376af6295d87cf9b9574422eba8a0c964c629d186c077fb7c33360-1305393993
    0
  20. Utilisateur anonyme
     
    Salut

    ok !!

    * tu ne m' as toujours pas dis >> Comment va ton PC ??

    1)*Rends toi sur >> Virustotal
    * ICI >>Virustotal

    Fais analyser ce fichier

    D:\WINDOWS\popcinfo.dat

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
    * PS
    * Sinon >> Colle directement le chemin du fichier ,
    dans l'espace>> " Parcourir " :

    * Clique maintenant sur >> Send file. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée * Une nouvelle fenêtre de ton navigateur va apparaître
    poste le résultat >> en collant l'url de la page du résultat (barre d'adresse).
    Ou en cliquant sur >> View last report et fais un copié/collé du rapport

    Ensuite fais de même avec et un par un ,bien sur


    D:\WINDOWS\eReg.dat
    D:\WINDOWS\aucfg.ini
    D:\WINDOWS\npornap.INI
    D:\WINDOWS\d3dx.dat
    D:\WINDOWS\jestertb.dll



    ou

    * * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

    Contributeur sécurité CCM
    0
  21. 2266sylalb Messages postés 46 Statut Membre
     
    Mon pc se porte a merveille .Merci beaucoup
    http://www.virustotal.com/file-scan/report.html?id=b57d46488b1ef0287fe598a7d2019a263ce59e98cb53ea80ec65cd33fbfbe64b-1305396415
    0
  • 1
  • 2
  • 3
  • 4