Infection Windows vista recovery

Question

Bonjour, 

mon pc a été infecté par Windows vista recovery. J'ai lancé un scan Malware et purgé les infections trouvées. Le PC tourne maintenant apparemment normalement mais il reste quelques petits soucis, notamment l'absence d'icones dans ma barre de tâches, certaines options dans le menu démarrer, des icônes sur le bureau, etc...

Quelqu'un pourrait-il m'aider? Apparemment, à la lecture du forum, il faudrait lancer un RogueKiller, mais je n'y connais rien...

Merci d'avance,

Kef Rens


Configuration: Windows Vista / Firefox 4.0.1

moment de grace · Answer

bonjour

desactive tes protections puis enregistre ceci sur ton bureau

Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe

Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

? Copie ce lien dans ta réponse.

Kefrens · Answer

Ok, merci, je tente ça.

Kefrens · Answer

Euh, le centre de sécurité de Windows est bloqué et je ne peux donc pas désactiver les protections qu'il propose.

moment de grace · Answer

* Télécharge sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html 


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape 2 et valide 

* puis l'option 6
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com

Kefrens · Answer

Après l'option 2, j'ai eu ça comme rapport:

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Nadia MAKHOUKH [Droits d'admin]
Mode: Suppression -- Date : 22/05/2011 07:08:08

Processus malicieux: 1
[SUSP PATH] PLFSetI.exe -- c:\windows\plfseti.exe -> KILLED

Entrees de registre: 1
[SUSP PATH] HKLM\[...]\Run : PLFSetI (C:\Windows\PLFSetI.exe) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]

Termine : << RKreport[1].txt >>
RKreport[1].txt

moment de grace · Answer

ok

option 6 et option 3 stp

et les rapports à poster

Kefrens · Answer

Wouaouw! RogueKiller est occupé à travailler (je n'ai pas encore lancé l'option 6 ni 3) et je constate une sacrée différence (fichiers récupérés)...  J'attends qu'il ait fini pour lancer la suite. D'ores et déjà merci.

Kefrens · Answer

Voilà la suite des résultats donnés par l'option 2:

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Nadia MAKHOUKH [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 22/05/2011 07:18:35

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 2236 / Fail 5
Lancement rapide: Success 8 / Fail 0
Programmes: Success 2393 / Fail 1
Menu demarrer: Success 61 / Fail 2
Dossier utilisateur: Success 21133 / Fail 25073
Mes documents: Success 88 / Fail 14
Mes favoris: Success 0 / Fail 2
Mes images: Success 0 / Fail 0
Ma musique: Success 60 / Fail 0
Mes videos: Success 6 / Fail 0
Disques locaux: Success 3006 / Fail 71869
Sauvegarde: [FOUND] Success 19 / Fail 0

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Kefrens · Answer

Mais RogueKiller continue encore à travailler...

Kefrens · Answer

Suite:

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Nadia MAKHOUKH [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 22/05/2011 07:27:43

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 5
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 1
Menu demarrer: Success 0 / Fail 2
Dossier utilisateur: Success 9 / Fail 24604
Mes documents: Success 0 / Fail 14
Mes favoris: Success 0 / Fail 2
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 16 / Fail 71859
Sauvegarde: [FOUND] Success 0 / Fail 19

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

moment de grace · Answer

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi surhttp://www.cijoint.fr/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

Kefrens · Answer

RogueKiller me propose l'option 6 avant que je n'aie eu le temps de faire ce que tu me conseilles juste ci-dessus. Je fais option 6 ou ZHPDiag?

moment de grace · Answer

option 6 oui puis zhp

Kefrens · Answer

ok!

Kefrens · Answer

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Nadia MAKHOUKH [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 22/05/2011 07:46:53

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 5
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 1
Menu demarrer: Success 0 / Fail 2
Dossier utilisateur: Success 9 / Fail 24604
Mes documents: Success 0 / Fail 14
Mes favoris: Success 0 / Fail 2
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 16 / Fail 71857
Sauvegarde: [FOUND] Success 0 / Fail 19

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Kefrens · Answer

http://www.cijoint.fr/cjlink.php?file=cj201105/cij9jT82p4.txt

moment de grace · Answer

pas sûr qu'on récupère tous tes dossiers

retente ceci stp  https://forums.commentcamarche.net/forum/affich-22162502-infection-windows-vista-recovery#1

Kefrens · Answer

Prescan a plante et mon ecran reste noir...

moment de grace · Answer

redemarre le pc..

Kefrens · Answer

ok, suis de retour sur le pc... je relance prescan?

moment de grace · Answer

ca serait bien oui....

Kefrens · Answer

avant de lancer prescan, un message d'eereur me dit "impossible de démarrer le core engine, l'application ne peut continuer. Voulez-vous redémarrer l'application?".

C'est grave, docteur?

Kefrens · Answer

Ca ne fonctionne pas, je relance le pc

Kefrens · Answer

Ok, je suis de retour... (au fait, merci beaucoup pour ton aide)

moment de grace · Answer

ok

je verrai avec le concepteur...quand il sera réveillé !!!!

pour voir si ce n'est pas un rootkit qui gêne

Télécharge Reload_TDSSKiller
http://dl.dropbox.com/u/21363431/Reload_Tdsskiller.exe

 Lance le

choisis : télécharger la derniere version

 relance-le

choisis : lancer le nettoyage

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

 Copie/Colle son contenu dans ta prochaine réponse.

Kefrens · Answer

2011/05/22 09:12:07.0565 0400	TDSS rootkit removing tool 2.5.1.0 May 13 2011 13:20:29
2011/05/22 09:12:07.0946 0400	================================================================================
2011/05/22 09:12:07.0946 0400	SystemInfo:
2011/05/22 09:12:07.0946 0400	
2011/05/22 09:12:07.0946 0400	OS Version: 6.0.6002 ServicePack: 2.0
2011/05/22 09:12:07.0946 0400	Product type: Workstation
2011/05/22 09:12:07.0946 0400	ComputerName: PC-DE-NADIA
2011/05/22 09:12:07.0947 0400	UserName: Nadia MAKHOUKH
2011/05/22 09:12:07.0947 0400	Windows directory: C:\Windows
2011/05/22 09:12:07.0947 0400	System windows directory: C:\Windows
2011/05/22 09:12:07.0947 0400	Processor architecture: Intel x86
2011/05/22 09:12:07.0947 0400	Number of processors: 2
2011/05/22 09:12:07.0947 0400	Page size: 0x1000
2011/05/22 09:12:07.0947 0400	Boot type: Normal boot
2011/05/22 09:12:07.0947 0400	================================================================================
2011/05/22 09:12:08.0466 0400	Initialize success

Kefrens · Answer

Tu penses que c'est un rootkit?

Kefrens · Answer

Et désolé pour le fil à retordre...

moment de grace · Answer

1)

* Télécharge Defogger 
http://www.jpshortstuff.247fixes.com/Defogger.exe

 => lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé

puis

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} . (.Unknown owner - No comment.) -- C:\Program Files\Ask.com\GenericAskToolbar.dll     
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}     
[HKCU\Software\AppDataLow\AskHomepage] 
[HKCU\Software\AppDataLow\AskToolbarInfo] 
[HKCU\Software\AppDataLow\Software\AskToolbar]     
[HKCU\Software\AppDataLow\Software\PriceGong]     
[HKCU\Software\Ask.com]     
[HKCU\Software\Iminent]     
[HKLM\Software\AskToolbar]     
[HKLM\Software\Bandoo]     
[HKLM\Software\Iminent]     
O43 - CFD: 6/01/2010 - 17:58:44 - [482544] ----D- C:\Program Files\Iminent     
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.InstallDir", "C:\Program Files\Ask.com\");     
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.cbid", "EW"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.config-updated", false); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.fresh-install", false); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.guid", "7CC98919-43E5-4235-AF4B-F387933B6A7B"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.http-header-whitelist-hosts", "[\"static-dev.en.dev.ask.com\", \"ask.com\", 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.l", "dis"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.last-config-req", "1306023723772"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.locale", "fr_EU"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.nero.userName", ""); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.o", "101913"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.options-lang", "fr"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.options-locale", "UK"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.overlay-reloaded-using-restart", true); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.qsrc", "2871"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.r", "2"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.sa", "NO"); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.search-suggestions-enabled", true); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.silent-upgrade", true); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.silent-upgrade-from-pre-newtabs-build", true); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.themeid", ""); 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("extensions.asktb.version", "5.11.3.15590"); 
O69 - SBI: SearchScopes [HKCU] {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} - (Web Search) - http://www.searchnu.com/     
[MD5.5F877D4957B9E034FD4B66E048D44ED6] [SPRF] (.Ask - Wrapper Application.) -- C:\Users\Nadia MAKHOUKH\AppData\Local\Temp\setup.exe   [3325832]     
O87 - FAEL: "TCP Query User{B4223759-F7B7-41C7-AFD6-C6026E57E97C}C:\program files\iminent\imbooster\imbooster.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\iminent\imbooster\imbooster.exe (.not file.)     
O87 - FAEL: "UDP Query User{3709493D-2BA4-472B-B5F8-690043F957BB}C:\program files\iminent\imbooster\imbooster.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\iminent\imbooster\imbooster.exe (.not file.)     
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440}     
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{D4027C7F-154A-4066-A1AD-4243D8127440}     
C:\Program Files\Iminent     
C:\Users\Nadia MAKHOUKH\Appdata\LocalLow\PriceGong 
M2 - MFEP: prefs.js [Nadia MAKHOUKH - b4cbb016.default\engine@conduit.com] [] Conduit Engine  v3.3.3.2 (.Conduit Ltd..)     
M2 - MFEP: prefs.js [Nadia MAKHOUKH - b4cbb016.default\{6d6b212b-2245-4898-8b16-9a11b81ff9e1}] [] Softonic France FF Community Toolbar v3.3.3.2 (.Conduit Ltd..)     
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com 
R0 - HKUS\S-1-5-21-3686463458-3295506014-1291360376-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com 
R3 - URLSearchHook: Softonic France FF Toolbar - {6d6b212b-2245-4898-8b16-9a11b81ff9e1} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\Softonic_France_FF	bSoft.dll 
R3 - URLSearchHook: (no name) - {1c491116-c175-45e1-a570-6fb14fea8b7b} Orphean Key     
R3 - URLSearchHook: Softonic France FF Toolbar - {6d6b212b-2245-4898-8b16-9a11b81ff9e1} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\Softonic_France_FF	bSoft.dll 
O2 - BHO: Softonic France FF Toolbar - {6d6b212b-2245-4898-8b16-9a11b81ff9e1} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France_FF	bSoft.dll 
O3 - Toolbar: Softonic France FF Toolbar - {6d6b212b-2245-4898-8b16-9a11b81ff9e1} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France_FF	bSoft.dll 
O42 - Logiciel: Softonic France FF Toolbar - (.Softonic France FF.) [HKLM] -- Softonic_France_FF Toolbar     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKCU\Software\AppDataLow\Software\Softonic_France_FF]     
[HKCU\Software\AppDataLow\Toolbar]     
[HKLM\Software\Conduit]     
[HKLM\Software\Softonic_France_FF]     
O43 - CFD: 4/01/2010 - 22:38:30 - [532064] ----D- C:\Program Files\Conduit     
O43 - CFD: 5/11/2010 - 2:20:02 - [2942571] ----D- C:\Program Files\Softonic_France_FF     
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("CT2102473.SearchEngine", "Recherche||http://search.conduit.com/ 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("CT2102473.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2102473 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("CT2207610.SearchEngine", "Recherche||http://search.conduit.com/ 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("CT2207610.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2207610 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2207610 
O69 - SBI: prefs.js [Nadia MAKHOUKH - b4cbb016.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2207610&q="); 
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Softonic France FF Customized Web Search) - http://search.conduit.com     
[MD5.28143D59655E87E4532E5C740000F970] [SPRF] (.Unknown owner - No comment.) -- C:\Users\Nadia MAKHOUKH\AppData\Local\Temp\Softonic_France_FF.exe   [1832272]     
C:\Program Files\Conduit     
C:\Program Files\Softonic_France_FF     
C:\Program Files\conduit     
C:\Users\Nadia MAKHOUKH\Appdata\LocalLow\Conduit     
C:\Users\Nadia MAKHOUKH\Appdata\LocalLow\conduit    
O43 - CFD: 1/05/2010 - 3:25:58 - [0] ----D- C:\Users\Nadia MAKHOUKH\Appdata\Local\hrfhompry
 [MD5.D41D8CD98F00B204E9800998ECF8427E] [SPRF] (.Unknown owner - No comment.) -- C:\Users\Nadia MAKHOUKH\AppData\Local\Temp\amnrcewsxo.exe   [0] 
 [MD5.0994A240F1A80D332C24930A1B713633] [SPRF] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Nadia MAKHOUKH\AppData\Local\Temp\AskSLib.dll   [242056] 
 [MD5.E5FF576DD36E6D45E46C467F7F8F26D0] [SPRF] (.Unknown owner - No comment.) -- C:\Users\Nadia MAKHOUKH\AppData\Local\Temp\FFSetupSoftonic250.exe   [37584120] 
 [MD5.4D8BA2E4CDF22E8AE6EDA93133CAA84D] [SPRF] (.Unknown owner - No comment.) -- C:\Users\Nadia MAKHOUKH\AppData\Local\Temp\GoogleChromeInstaller.exe   [579976] 
 [MD5.D41D8CD98F00B204E9800998ECF8427E] [SPRF] (.Unknown owner - No comment.) -- C:\Users\Nadia MAKHOUKH\AppData\Local\Temp
mesrcxwao.exe   [0] 
 [MD5.F9172B0B937F695393CBEB27AC2A5415] [SPRF] (.Unknown owner - No comment.) -- C:\Users\Nadia MAKHOUKH\AppData\Local\Temp\Nubiles.10.07.24.Ellen.XXX.720p.WMV-CuMBuCKeTS.rar   [385530902] 
 [MD5.D41D8CD98F00B204E9800998ECF8427E] [SPRF] (.Unknown owner - No comment.) -- C:\Users\Nadia MAKHOUKH\AppData\Local\Tempcmxewosan.exe   
 C:\Users\Nadia MAKHOUKH\AppData\Roaming\Mozilla\Firefox\Profiles\b4cbb016.default\Conduit 
 C:\Users\Nadia MAKHOUKH\AppData\Roaming\Mozilla\Firefox\Profiles\b4cbb016.default\ConduitEngine 
 C:\Users\Nadia MAKHOUKH\AppData\Roaming\Mozilla\Firefox\Profiles\b4cbb016.default\conduit 
 C:\Users\Nadia MAKHOUKH\AppData\Roaming\Mozilla\Firefox\Profiles\b4cbb016.default\extensions\engine@conduit.com 
 C:\Users\Nadia MAKHOUKH\AppData\Roaming\Mozilla\Firefox\Profiles\b4cbb016.default\extensions\engine@conduit.com
MBRFix
HiddenFix
   


Puis Lance ZHPFix depuis le raccourci du bureau . (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)

* Une fois l'outil ZHPFix ouvert ,

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse



le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 


redemarre le pc

_____________

2)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Kefrens · Answer

OkOk, ça tourne...

Kefrens · Answer

zhpfix est hs, il me dit de contacter le concepteur du programme parce qu'il ne peut pas faire ce que je lui demande...

Kefrens · Answer

Vraiment désolé, si tu préfères reporter à plus tard, je comprends.

Kefrens · Answer

Merci beaucoup pour ton aide précieuse, les choses ont en tout cas déjà bien évoluées.

moment de grace · Answer

desinstalle zhp et réinstalle le  (et donc zhpfix en même temps) et retente la manip stp

Kefrens · Answer

Resalut,

ai tenté 2x de réinstaller ZHP et de faire la procédure conseillée ce matin par moment de grâce à 9h20 mais ZHPFIX plante à chaque fois et me demande de contacter le concepteur du logiciel...

Quelqu'un aurait-il une suggestion?

Merci!

Kefrens · Answer

Ad remover dit ne pas reconnaitre le systeme d'exploitationm
D'exploitation et plante après 5secondes. 

J'ai relance 2x sans succes.

Amahrine · Answer

Bonsoir,

Si j'ai bien compris, tu as été victime du virus Windows Recovery, tu t'en es débarrassé mais tes icônes sont toujours introuvables ?

Si c'est bien ça, essayes simplement d'afficher les dossiers cachés, en faisant Documents -> Outils -> Option des dossiers -> Affichage -> Afficher les fichiers et dossiers cachés

Personnellement ça n'a pas suffit, il a fallu que je télécharge un logiciel nommé "unhide", qui m'a tout remis en place ! J'essaye de retrouver le site où ils disaient ça au cas où...

J'ai choppé ce virus cet après-midi, ça a été la panique, mais maintenant tout va bien, après roguekiller + malwarebytes + unhide + ccleaner ! Donc courage.

Kefrens · Answer

Merci beaucoup Amahrine mais ça a l'air plus grave que ça, mon pc démarre, certes, mais il dit que le "core engine" n'a pas pu démarrer. De plus, j'ai des applications (skype, ...) et d'autres trucs qui ne fonctionnent plus...

Kefrens · Answer

Ca fait depuis cette nuit 4h du matin que je suis les conseils des spécialistes du site mais là je suis bloqué et... je n'ai plus de réponse de leurs parts...

Apparemment, la crasse a presque disparu mais comme je te l'ai dit, il reste quelques trucs...

Merci en tout cas pour ton message.

gen-hackman · Answer

bonsoir n'ouvre pas d autres discussions attends que moment de grace revienne

très impoli ca....

moment de grace · Answer

faire ad remover comme indiqué là

https://forums.commentcamarche.net/forum/affich-22162502-infection-windows-vista-recovery?page=2#31

Kefrens · Answer

Rebonjour!

Ad-remover me signale, en s'installant, qu'il ne reconnaît pas le système d'exploitation. Il me demande si je veux continuer. Je dis "oui".

Puis, après avoir lancé le programme lui-même, je reçois un message disant que les applications en cours d'exécution vont être fermées. Jusque-là tout va bien.

Mais après, Ad-r. se fige (le nettoyage ne progresse plus) et le programme ne "répond plus". Après 3 tentatives, j'ai constaté que la progression la plus grande dans le nettoyage était de d'une trentaine ou une quarantaine de pourcents...

Quelqu'un pourrait-il m'aider à éliminer cette crasse? Moment de grâce, es-tu dans le parages? Merci d'avance!

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (clic droit sur le lien ...enregistrer la cible du lien sous ) /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

Kefrens · Answer

Hello,

En vous remerciant encore pour votre soutien, je vous poste le rapport de ComboFix:



ComboFix 11-05-23.02 - Nadia MAKHOUKH 24/05/2011  21:18:46.1.2 - x86
Running from: c:\users\Nadia MAKHOUKH\Desktop\ComboFix.exe
 * Created a new restore point
.
.
(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Nadia MAKHOUKH\AppData\Roaming\.#
c:\users\Nadia MAKHOUKH\AppData\Roaming\download2
.
Infected copy of c:\windows\system32\drivers\volsnap.sys was found and disinfected 
Restored copy from - Kitty had a snack :p 
.
(((((((((((((((((((((((((   Files Created from 2011-04-24 to 2011-05-24  )))))))))))))))))))))))))))))))
.
.
2011-05-24 19:41 . 2011-05-24 19:42	--------	d-----w-	c:\users\Nadia MAKHOUKH\AppData\Local	emp
2011-05-24 19:41 . 2011-05-24 19:41	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-05-23 19:40 . 2011-05-23 19:40	--------	d-----w-	c:\program files\Ad-Remover
2011-05-22 21:45 . 2011-05-22 21:45	--------	d-----w-	C:\Kill'em
2011-05-22 17:49 . 2011-05-22 17:49	--------	d-sh--w-	c:\windows\system32\%APPDATA%
2011-05-22 17:37 . 2011-05-22 17:37	--------	d-----w-	c:\program files\Common Files\Skype
2011-05-22 13:34 . 2011-05-18 10:37	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{BD376BB3-749E-4D9D-B197-3CFEC20C3B1B}\mpengine.dll
2011-05-22 05:52 . 2011-05-22 05:52	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-05-22 05:48 . 2011-05-22 17:01	--------	d-----w-	c:\program files\ZHPDiag
2011-05-22 05:03 . 2011-05-10 12:03	441176	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2011-05-22 00:21 . 2011-05-22 00:21	781272	----a-w-	c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-05-22 00:21 . 2011-05-22 00:21	1874904	----a-w-	c:\program files\Mozilla Firefox\mozjs.dll
2011-05-22 00:21 . 2011-05-22 00:21	89048	----a-w-	c:\program files\Mozilla Firefox\libEGL.dll
2011-05-22 00:21 . 2011-05-22 00:21	465880	----a-w-	c:\program files\Mozilla Firefox\libGLESv2.dll
2011-05-22 00:21 . 2011-05-22 00:21	1892184	----a-w-	c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-05-22 00:21 . 2011-05-22 00:21	15832	----a-w-	c:\program files\Mozilla Firefox\mozalloc.dll
2011-05-22 00:21 . 2011-05-22 00:21	142296	----a-w-	c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-05-22 00:21 . 2011-05-22 00:21	1974616	----a-w-	c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-05-20 18:31 . 2011-05-20 18:34	--------	d-----w-	C:\KevPolices
.
.
.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-10 12:10 . 2010-06-30 14:18	40112	----a-w-	c:\windows\avastSS.scr
2011-05-10 12:10 . 2010-05-19 08:32	199304	----a-w-	c:\windows\system32\aswBoot.exe
2011-05-10 12:03 . 2010-05-19 08:33	307928	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-05-10 12:02 . 2010-05-19 08:33	49240	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-05-10 11:59 . 2010-05-19 08:33	25432	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-05-10 11:59 . 2010-05-19 08:33	53592	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2011-05-10 11:59 . 2010-05-19 08:33	19544	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2011-05-22 00:21 . 2011-05-22 00:21	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10	122512	----a-w-	c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2008-07-29 15:52	121392	------w-	c:\program files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-07-20 39408]
"VoipCheapCom"="c:\program files\VoipCheapCom.com\VoipCheapCom\VoipCheapCom.exe" [2010-12-20 13130552]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1049896]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-11-22 13601312]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-11-22 92704]
"RtHDVCpl"="RtHDVCpl.exe" [2008-09-19 6294048]
"LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-12-17 858632]
"ePower_DMC"="c:\program files\Acer\Empowering Technology\ePower\ePower_DMC.exe" [2008-11-28 417792]
"eDataSecurity Loader"="c:\program files\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe" [2008-07-29 526896]
"eAudio"="c:\program files\Acer\Empowering Technology\eAudio\eAudio.exe" [2008-09-11 544768]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"TkBellExe"="c:\program files\Common Files\Real\Update_OBealsched.exe" [2010-03-31 202256]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]
.
c:\users\Nadia MAKHOUKH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
Orion.lnk.disabled [2009-8-2 1852]
ZooskMessenger.lnk - c:\program files\ZooskMessenger\ZooskMessenger.exe [N/A]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun-]
"ArcadeDeluxeAgent"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
"BkupTray"="c:\program files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
"CLMLServer"="c:\program files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe"
"PlayMovie"="c:\program files\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
.
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-07-20 135664]
R2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-04-25 131072]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-07-20 135664]
R3 qcusbser;Modem Interface USB Device for Legacy Serial Communication;c:\windows\system32\DRIVERS\qcusbser.sys [2008-10-22 103552]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\DRIVERS\wacmoumonitor.sys [2008-03-17 15144]
R3 WisINT15;WisINT15;c:\elements\1stboot\WisINT15.SYS [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe [2008-01-21 21504]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-05-10 53592]
S2 BUNAgentSvc;NTI Backup Now 5 Agent Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe [2008-03-03 16384]
S2 CLHNService;CLHNService;c:\program files\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe [2008-10-04 69632]
S2 ETService;Empowering Technology Service;c:\program files\Acer\Empowering Technology\Service\ETService.exe [2008-11-28 24576]
S2 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-04-25 45056]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S2 TabletServicePen;TabletServicePen;c:\windows\system32\Pen_Tablet.exe [2008-05-01 3032360]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-06-26 212992]
S3 hidshim;Service for HID-KMDF Shim layer;c:\windows\system32\DRIVERS\hidshim.sys [2008-10-08 5632]
S3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-05-21 3663360]
S3 nuvotonhidgeneric;Nuvoton EC Generic HID;c:\windows\system32\DRIVERS
uvotonhidgeneric.sys [2008-10-08 22528]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda32v.sys [2008-09-25 45600]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
Akamai	REG_MULTI_SZ   	Akamai
.
Contents of the 'Scheduled Tasks' folder
.
2011-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-20 14:38]
.
2011-05-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-20 14:38]
.
2011-03-10 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-3686463458-3295506014-1291360376-1000.job
- c:\program files\Real\RealUpgradeealupgrade.exe [2010-02-24 20:09]
.
2011-05-24 c:\windows\Tasks\User_Feed_Synchronization-{8409E135-5CBA-4BEC-BD27-0C6F6001D521}.job
- c:\windows\system32\msfeedssync.exe [2010-03-31 04:54]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = <local>
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
TCP: {11378D79-CDD8-49D3-B9BC-99980EAE7371} = 192.168.254.91
FF - ProfilePath - c:\users\Nadia MAKHOUKH\AppData\Roaming\Mozilla\Firefox\Profiles\b4cbb016.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2207610&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine - Softonic France FF Customized Web Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.be/ig
FF - user.js: yahoo.ytff.general.dontshowhpoffer - true
.
- - - - ORPHANS REMOVED - - - -
.
BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - c:\program files\Ask.com\GenericAskToolbar.dll
WebBrowser-{1C491116-C175-45E1-A570-6FB14FEA8B7B} - (no file)
HKCU-Run-AdobeBridge - (no file)
HKCU-Run-ares - c:\program files\Ares\Ares.exe
HKCU-Run-ISUSPM - c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe
HKLM-Run-eRecoveryService - (no file)
SafeBoot-mcmscsvc
SafeBoot-MCODS
AddRemove-{7F811A54-5A09-4579-90E1-C93498E230D9} - c:\program files\InstallShield Installation Information\{7F811A54-5A09-4579-90E1-C93498E230D9}\setup.exe
AddRemove-Notification de cadeaux MSN - c:\users\Nadia MAKHOUKH\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-24 21:42
Windows 6.0.6002 Service Pack 2 NTFS
.
scanning hidden processes ...  
.
scanning hidden autostart entries ... 
.
scanning hidden files ...  
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Completion time: 2011-05-24  21:47:06
ComboFix-quarantined-files.txt  2011-05-24 19:47
.
Pre-Run: 148.721.418.240 octets libres
Post-Run: 152.264.495.104 octets libres
.
Current=2 Default=2 Failed=1 LastKnownGood=3 Sets=1,2,3,4
- - End Of File - - 6622293E2AAB448DD7B05E2266B625AD

moment de grace · Answer

bien

supprime ton ad remover et on refait

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Kefrens · Answer

Salut Moment de Grace,

merci encore pour le soutien...

Bon, résultat après ton dernier conseil:

Ad-remover dit ne pas reconnaître mon système d'exploitation.
Je fais "poursuivre" ou "oui" malgré tout.
Je lance l'option "nettoyer".
Après 5-6 secondes, Ad-remover me dit qu'il va fermer tous les programmes (ou toutes les applications).
Je clique "ok" ou "oui"
Plus de réponse de Ad-remover...

J'ai recommencé à 3 reprises avec le même résultat.

Qu'en penses-tu?
Merci!

moment de grace · Answer

ok

desinstalle spybot depassé et gene les outils

si ca coince encore fais le en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

Kefrens · Answer

Hello Moment de Grace,

ça a marché (après un démarrage en mode "sans échec".

Je te poste ici deux messages qui sont apparus sur le bureau, le premier apparaît à chaque démarrage de Windows, le deuxième est apparu lors de ma session précédente:
1/ http://www.cijoint.fr/cjlink.php?file=cj201105/cijJD64TXe.jpg
2/ http://www.cijoint.fr/cjlink.php?file=cj201105/cijtqUOFbM.jpg

Et voici le rapport de Ad-remover (avec, encore une fois, tous mes remerciements. J'espère qu'on finira bientôt par en venir à bout):


======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [5]) -> Lancé à 21:19:02 le 25/05/2011, Mode sans echec

 Service Pack 2 (X86) 
Nadia MAKHOUKH@PC-DE-NADIA (Acer Aspire 8730) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Nadia MAKHOUKH\AppData\Roaming\Mozilla\FireFox\Profiles\b4cbb016.default\Prefs.js --
/!\ Impossible d'ouvrir le fichier, nettoyage interrompu /!\
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
Clé supprimée: HKLM\Software\Classes\CLSID\{27F69C85-64E1-43CE-98B5-3C9F22FB408E}
Clé supprimée: HKLM\Software\Classes\AppID\{1301A8A5-3DFB-4731-A162-B357D00C9644}
Clé supprimée: HKLM\Software\Classes\CLSID\{B543EF05-9758-464E-9F37-4C28525B4A4C}
Clé supprimée: HKLM\Software\Classes\CLSID\{BB76A90B-2B4C-4378-8506-9A2B6E16943C}
Clé supprimée: HKLM\Software\Classes\CLSID\{C3AB94A4-BFD0-4BBA-A331-DE504F07D2DB}
Clé supprimée: HKLM\Software\Classes\Interface\{144940B1-F191-11D0-A8E2-00A0C90F29FC}
Clé supprimée: HKLM\Software\Classes\Interface\{477F210A-2A86-4666-9C4B-1189634D2C84}
Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé supprimée: HKLM\Software\Classes\Interface\{FF871E51-2655-4D06-AED5-745962A96B32}
Clé supprimée: HKLM\Software\Classes\TypeLib\{8F5F1CB6-EA9E-40AF-A5CA-C7FD63CC1971}
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore
Clé supprimée: HKLM\Software\Classes\BandooCore.BandooCore.1
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.ResourcesMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.SettingsMngr.1
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr
Clé supprimée: HKLM\Software\Classes\BandooCore.StatisticMngr.1
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2102473
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2207610
Clé supprimée: HKLM\Software\Classes\AppID\BandooCore.EXE
Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{424624F4-C5DD-4e1d-BDD0-1E9C9B7799CC}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7f000001-db8e-f89c-2fec-49bf726f8c12}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C8A3CA5-889E-4554-BEEC-EC0876E4E96A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F9189560-573A-4fde-B055-AE7B0F4CF080}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar

Kefrens · Answer

============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0.1 (fr)] ****

FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension for Firefox		)

Kefrens · Answer

Désolé, je n'arrive pas à tout poster, le site me dit "titre du message non renseigné". Je te communique donc un lien "ci-joint" qui contient tout:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijbRXQgkk.txt

moment de grace · Answer

ok

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

Kefrens · Answer

Voilà Moment de Grâce... et encore tous mes remerciements pour le bon boulot...:

http://pjjoint.malekal.com/files.php?id=5c6f4a1844897

moment de grace · Answer

ok

le rapport est bien

encore des soucis ?

Kefrens · Answer

Salut Moment de Grâce,

merci mais il reste encore quelques soucis:

- un message "Impossible de démarrer le core engine" à chaque démarrage de Windows.
- orion.ink est déclaré comme "disabled" à chaque démarrage de Windows.
- Windows ne parvient pas à télécharger la plupart des mises à  jours: je les démarre manuellement, mais le niveau de progression du téléchargement reste à 0. J'obtiens le code erreur 8000FFFF. Je cherche alors de l'aide mais... (voir point suivant).
- La fenêtre "aide et support" de Windows démarre quand j'appuie sur F1 mais ne charge pas le contenu lui-même. J'ai le message suivant systématiquement:   Rubrique d'aide introuvable
This content under construction 
Impossible de récupérer la rubrique demandée.
- Quand j'essaye d'activer le contrôle de compte d'utilisateurs dans la fenêtre centre de sécurité windows, j'obtiens le message le centre de sécurité n'a pas pu activer le contrôle de compte d'utilisateurs
- J'utilise en temps normal le logiciel VoipCheap qui permet d'appeler à l'étranger, mais maintenant, impossible de le faire fonctionner, même après désinstallation-réinstallation.
- Idem pour MSN: impossible de se connecter, j'obtiens un code d'erreur 80070005.

Et ce ne sont que les soucis que j'arrive à remarquer...

Ce serait vraiment aimable si tu pouvais m'aider à terminer de nettoyer cette satanée crasse. 
Merci d'avance!

Kefrens

moment de grace · Answer

on refait tdsskiller

Télécharge Reload_TDSSKiller 
http://dl.dropbox.com/u/21363431/Reload_Tdsskiller.exe 

 Lance le 

choisis : télécharger la derniere version 

 relance-le 

choisis : lancer le nettoyage 

TDSSKiller va s'ouvrir , clique sur "Start Scan" 

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer 

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau 

 Copie/Colle son contenu dans ta prochaine réponse.

Kefrens · Answer

Salut Moment de Grace,

TDSSKiller dit ne rien avoir trouvé et m'a donné un rapport vide...

Merci

moment de grace · Answer

hummm

je doute qu'une infection explique tes derniers soucis

Télécharger Eset Nod32 : 
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe 
* Lancer le fichier 
* Accepter les conditions 
* Autoriser le programme à accéder à Internet 
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement) 
* Téléchargement des signatures 


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte ! 

* Le scan débute dés la fin du téléchargement 
* Générer le rapport 
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte... 



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum. 
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt 

Pour vous aider voici un tuto rédigé par dorgane : 
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Kerfrens · Answer

Bonjour,

EsetOnlineScanner est bloqué à la première étape. 

Il me parle d'un proxy dont les paramètres ne seraient pas configurés 
(voir http://www.cijoint.fr/cjlink.php?file=cj201105/cijS6hHZXZ.jpg)
mais je n'ai jamais configuré de proxy sur ce PC !
Il s'agit bien d'un portable relié sans fil à internet mais il ne me semble pas qu'il y ait un proxy.

Merci,

Kerfrens

moment de grace · Answer

arf

fais un scan en ligne ici 

copie colle le rapport final 

http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335 

tuto pout t'aider 

https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur

Kefrens · Answer

Salut Moment de Grace,

voilà, j'ai essayé pre_scan en renommant avec toutes les propositions que tu as énoncées, mais sans résultat, même en cliquant plusieurs fois très rapidement dessus.

Remarque: je ne semble plus avoir les droits d'administrateur sur mon PC.
Par exemple, je ne peux plus désactiver mon pare-feu (la fenêtre Paramètres du pare-feu windows me dit vous devez être administrateur pour modifier ces paramètres).

Kefrens

gen-hackman · Answer

tu as fait quoi avec ton pc entre temps ?

Kefrens · Answer

Euuuh, rien de très spécial si je me souviens bien...

gen-hackman · Answer

ben je sais pas on se quitte ca va a peu pres , tu reviens y a plus rien qui marche !!

Kefrens · Answer

Le seul truc notable que j'ai fait, c'est créer un nouveau compte utilisateur avec les droits d'admin pour pouvoir y installer msn (réussi) et VoipCheap (pas réussi) afin que ma dulcinée puisse se connecter avec sa famille qui est à l'étranger. Sinon, comme d'habitude, dwnld de mp3 et vidéos via les modules de firefox depuis qu'on s'est quittés, mais avec les protections d'avast et SuperAntispyware qui ne m'ont rien signalés de spécial.

gen-hackman · Answer

tu peux le virer superantimachin

Kefrens · Answer

Superantimachin vient d'être viré.
Je crois en fait que je devrais laisser cette machine un peu en paix tant qu'elle n'est pas complètement clean...

gen-hackman · Answer

:))

Kefrens · Answer

Bon, est-ce que je dois passer par une sorte de rituel expiatoire pour m'excuser d'avoir abusé de ce pauvre appareil qui, en fait, n'a rien demandé? :))

gen-hackman · Answer

telecharge ici : Load_SalityKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage 

à la fin SalityKiller.txt se mettra sur ton bureau

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clic droit dessus , envoyer vers , dossiers compressés

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Kefrens · Answer

Load_SalityKiller est téléchargé sur mon bureau mais... ne veut pas s'ouvrir...

gen-hackman · Answer

salut precise ne veut pas s ouvrir stp

Kefrens · Answer

Salut,

quand je clique pour lancer le programme, la fenêtre suivante s'ouvre:

http://www.cijoint.fr/cjlink.php?file=cj201106/cijEEBAIdc.jpg

Je clique "exécuter", la fenêtre disparaît et le "sablier" de windows s'active 
mais la fenêtre en question réapparaît indéfiniment.

Et si je décoche la case Toujour demander avant d'ouvrir ce fichier, la fenêtre disparaît aussi, et le "sablier" travaille puis disparaît puis travaille puis disparaît, etc. indéfiniment, comme si le programme faisait des tentatives indéfinies pour se lancer...

Voilà.

gen-hackman · Answer

tes protections sont bien toutes desactivées ?

Infection Windows vista recovery

73 réponses

Newsletters