Keylogger & Registre

Le scan d'avira:
https://pjjoint.malekal.com/files.php?read=l9r9d11f11g8n9z14c6b13

Tiens le rapport (avec les options):
https://pjjoint.malekal.com/files.php?id=y11e8r11u9s6q12b14c8x15

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

R3 - URLSearchHook: (no name) [64Bits] - {0002ee26-8c11-49eb-9cdf-56eeffef664f} Clé orpheline
R3 - URLSearchHook: (no name) [64Bits] - {472734EA-242A-422b-ADF8-83D1E48CC825} Clé orpheline
O2 - BHO: Hotspot Shield Class [64Bits] - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll
OPT:O4 - HKLM\..\Wow6432Node\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- c:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Wow6432Node\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe
O4 - HKLM\..\Wow6432Node\Run: [AutoRunCfg] C:\System\config\cfg.bat (.not file.)
OPT:O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: (SQLAgent$SQLEXPRESS) - Clé orpheline => Orphean Key not necessary
O23 - Service: (X6va001) . (...) - C:\Users\ROMANE~1\AppData\Local\Temp\0013E.tmp
O42 - Logiciel: XfireXO Toolbar - (.XfireXO.) [HKLM][64Bits] -- XfireXO Toolbar
[HKLM\Software\BrowserChoice] => Microsoft BrowserChoice
[HKLM\Software\XfireXO]
O43 - CFD: 18/05/2011 - 13:10:04 - [58852546] ----D- C:\Program Files\SUPERAntiSpyware
O43 - CFD: 15/05/2011 - 18:04:58 - [0] ----D- C:\Program Files\Symantec
O43 - CFD: 15/05/2011 - 18:04:56 - [1025416] ----D- C:\Program Files\Common Files\Symantec Shared
O43 - CFD: 21/02/2011 - 16:05:26 - [86247318] ----D- C:\ProgramData\avg9
O43 - CFD: 15/05/2011 - 18:05:44 - [118854258] ----D- C:\ProgramData\Norton
O43 - CFD: 05/12/2009 - 09:14:56 - [15404133] ----D- C:\ProgramData\NortonInstaller
O43 - CFD: 17/05/2011 - 20:03:58 - [21] ----D- C:\ProgramData\SUPERAntiSpyware.com
O43 - CFD: 13/07/2010 - 20:46:14 - [1097] ----D- C:\ProgramData\Symantec
O43 - CFD: 15/05/2011 - 18:05:56 - [1730] ----D- C:\Users\Roman et Barth\Appdata\Local\Symantec
O43 - CFD: 24/04/2010 - 12:09:02 - [0] ----D- C:\Program Files (x86)\AVG
O43 - CFD: 05/12/2009 - 09:15:30 - [103954400] ----D- C:\Program Files (x86)\Norton Internet Security
O43 - CFD: 03/03/2011 - 19:06:58 - [40821687] ----D- C:\Program Files (x86)\NortonInstaller
O43 - CFD: 05/12/2009 - 08:58:28 - [1846542] ----D- C:\Program Files (x86)\Symantec
O52 - TDSD: \Drivers32\"VIDC.XFR1"="xfcodec64.dll" . (.Pas de propriétaire - Xfire Video Codec.) -- (.not file.)
O52 - TDSD: \Drivers32\"VIDC.TMB0"="tmbvcm64.dll" . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O52 - TDSD: \drivers.desc\"xfcodec64.dll"="Xfire video codec [XFR1]" . (.Pas de propriétaire - Xfire Video Codec.) -- (.not file.)
O53 - SMSR:HKLM\...\startupreg\cacaoweb [Key] . (...) -- C:\Users\Roman et Barth\AppData\Roaming\cacaoweb\cacaoweb.exe (.not file.)
O64 - Services: CurCS - (.not file.) - AVG Free Network Redirector x64 (AvgTdiA) .(...) - LEGACY_AVGTDIA
O64 - Services: CurCS - C:\Windows\system32\drivers\EagleX64.sys (.not file.) - EagleX64 (EagleX64) .(...) - LEGACY_EAGLEX64
O64 - Services: CurCS - 30/12/1899 - C:\Windows\System32\drivers\npf.sys - NetGroup Packet Filter Driver(NPF) .(.CACE Technologies, Inc. - npf.sys (NT5/6 AMD64) Kernel Driver.) - LEGACY_NPF
O64 - Services: CurCS - C:\Users\ROMANE~1\AppData\Local\Temp\0013E.tmp (.not file.) - X6va001 (X6va001) .(...) - LEGACY_X6VA001
O87 - FAEL: "TCP Query User{7C7D6064-2BAB-48A0-81F6-7D28297F27AF}C:\users\roman et barth\appdata\local\temp\wzs37a8.tmp\scol_install\scolsetup.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\roman et barth\appdata\local\temp\wzs37a8.tmp\scol_install\
O87 - FAEL: "UDP Query User{936E70D8-69A2-46A9-86B8-DF80469308BC}C:\users\roman et barth\appdata\local\temp\wzs37a8.tmp\scol_install\scolsetup.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\roman et barth\appdata\local\temp\wzs37a8.tmp\scol_install
O87 - FAEL: "{EB9F1D16-2ECA-4B3A-8D7E-B3A9A4A9288F}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Roman et Barth\AppData\Local\Temp\Update_6ca9.exe (.not file.)
O87 - FAEL: "{F63A213C-2E4A-4AA2-959F-A01F8EE3C9EA}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Roman et Barth\AppData\Local\Temp\Update_6ca9.exe (.not file.)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
C:\Users\Roman et Barth\Appdata\LocalLow\uTorrentBar_FR
SR - | Auto 08/04/2010 345376 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
SS - | Demand 14/07/2009 0 | (X6va001) . (...) - C:\Users\ROMANE~1\AppData\Local\Temp\0013E.tmp


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

https://pjjoint.malekal.com/files.php?id=n8p5v13y15e8d10f6v7i13

Et voici..

un récapitulatif de tes soucis restants ?

Toujours les mêmes: probleme de connexion alors que je peux surfer avec modzilla
*les mises a jour windows bloquent
*Les logiciels ne font pas de mises a jour
*Les jeux en ligne ne se connectent pas meme probleme avec skype, teamSpeak, msn ...
je vais essayer de rebooter mon pc afin de voir si il y a des changements

Aucun changement...
Toujours pareil...
Y aurait-il une autre solution ?

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec


▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv


▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

J'ai essayé ces procedures mais je n'ai jamais eu le temps de les terminer.
Je vais donc faire ce scan aujourd'hui donc ce dimanche

salut

plus tu tarderas , plus ca ira de mal en pis

C'est bon, je le poste ...
J'editerai ce message
Vraiment désolé de ne pas l'avoir posté avant.
Ps:Je suis toujours ce topic , je ne l'ai pas abandonné :D



Lien de telechargement direct:
http://www.cijoint.fr/cj201106/cijt2LuRdw.zip

Lien:
http://www.cijoint.fr/cjlink.php?file=cj201106/cijt2LuRdw.zip

c'est ta triche de jeu qui est infectée et virée

Donc je dois supprimer Ch*at Engine ??

C'est bon, il est désinstallé

toujours des soucis de connection ?

Oui, toujours pareil..
A mon avis le virus est supprimé mais il a du desactiver les connexions sortantes et entrantes ou meme internet (Modzilla firefox fonctionne bizarre non ??)
Il faudrait , je pense les reactiver.A moins que ce ne soit pas ca

y' a un truc...

▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

http://www.stooorage.com/show/744/3049053_microsoft-security-ess-autoris.png

Heuuu....
En voulant désactiver mes protecdtions , je vois ca ....

ouaip' fais gmer en mode sans echec

Alerte!!!
JE VAIS POUVOIR PEUT-ETRE LE SUPPRIMER :DDD
Mate ca :

http://www.stooorage.com/show/759/3070992_registre-virusee-powned.png


Merci de m'aider ;D
merci

EDIT:

Sur mon screen, on voit une autre infection:
le nom c'est
Type: Reg
Name:
HKCU\Software\Microsoft\Windows_NT\CurrentVersion\AppCompatFlags\Comptability Assistant\Persisted@C:\Users\Roman et Barth\Desktop\Barth\\xa0\Barth\Appli + ecran de veille\Open AlwEAX.exe

L'application est un logiciel pour creer des ecrans de veille.Le plus bizarre c'est que le dossier '\xa0' ou 'xa0' n'existe pas...

et c'est quoi ces deux slashes la : 'Barth\\xa0'



Ps: Je vais réactiver mon UAC on ne sait jamais...

Jte file le rapport (.log), de gmer dans 5mins


***********
Le voila:

(mode normal):https://pjjoint.malekal.com/files.php?read=n8h5k9b13w15v12h11j12o9

(mode safe):https://pjjoint.malekal.com/files.php?read=m11g7v151513y15u6b10v15

J'ai mieux fait de le faire en mode normal, je me doutais d'un truc...