infecté par W32/Blaster.worm

Question

Bonjour, 
J'ai vu qu'il y avait déjà des messages par rapport à ça, mais bon j'ai pas tout compris!
Mon Pc est infecté par Blaster, j'ai téléchargé RogueKiller mais après je fais quoi?


Configuration: Windows Vista / Firefox 3.6.17

Utilisateur anonyme · Answer

Re,

Est ce que tu peux envoyer le rapport ?

marinette777 · Answer

Voila le rapport
RogueKiller V5.2.1 [02/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: DEMAIN Mickael [Droits d'admin]
Mode: Recherche -- Date : 02/06/2011 14:11:43

Processus malicieux: 2
[SUSP PATH] defender.exe -- c:\programdata\defender.exe -> KILLED
[SUSP PATH] defender.exe -- c:\programdata\defender.exe -> KILLED

Entrees de registre: 6
[SUSP PATH] HKCU\[...]\Run : Security Protection (C:\ProgramData\defender.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1683791805-4286831347-3387399673-1002[...]\Run : Security Protection (C:\ProgramData\defender.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1683791805-4286831347-3387399673-1003[...]\Run : Security Protection (C:\ProgramData\defender.exe) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Utilisateur anonyme · Answer

Re,



Relance RogueKiller puis tape 2 ensuite 6 puis poste de nouveau le rapport

@+

marinette777 · Answer

Ca y'est, voilà le rapport après le 6
RogueKiller V5.2.1 [02/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: DEMAIN Mickael [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 02/06/2011 15:09:05

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 12 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 21 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 220 / Fail 0
Sauvegarde: [NOT FOUND]

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Utilisateur anonyme · Answer

Re,

 *Télécharges Malwarebytes' (mbam)  

ICI >> Malwarebytes' (mbam)  
 

* installes + mise a jour 
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir 
* Lances--> Malwarebytes (MBAM) 
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet 
* puis "Rechercher" 
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport 
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection 
* S'il t' es demandé de redémarrer, clique sur "oui " 
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici 
!!! Ne pas vider la quarantaine de MBAM sans avis !!!

marinette777 · Answer

Ca y'est le scan est fait et les infections supprimées. 
Voilà le rapport

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6753

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

02/06/2011 18:33:11
mbam-log-2011-06-02 (18-32-58).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 346113
Temps écoulé: 1 heure(s), 37 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\famille deman\AppData\Local\microsoft\Windows	emporary internet files\Content.IE5\0NSDT0VS\73[1].exe (Spyware.Passwords.XGen) -> No action taken.
c:\Users\famille deman\AppData\Local\Temp\5B8F.tmp (Spyware.Passwords.XGen) -> No action taken.
c:\programdata\defender.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\famille deman\AppData\Local\Temp\0.4014164391611691.exe (Trojan.Dropper) -> No action taken.
c:\Users\famille deman\AppData\Roaming\Adobe\shed	hr1.chm (Malware.Trace) -> No action taken.
c:\Users\famille deman\AppData\Roaming\Adobe\plugs\mmc8.exe (Trojan.Agent.Gen) -> No action taken.

Utilisateur anonyme · Answer

Re, 

Non les infections ne sont pas supprimées (No action taken) !! 

Relance Malwarebytes et à la fin de l'analyse clique sur "Afficher le résultat" (toutes les lignes (infections) doivent être cochées) puis clique sur "supprimer la sélection" 

Ensuite poste le rapport... 

@+ 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-* 
Membre, Contributeur 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

marinette777 · Answer

Je te remets le rapport, mais apparemment il n'a rien trouvé, il me dit qu'aucun élément nuisible n'a été détecté.
Voici le nouveau rapport:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6753

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

02/06/2011 23:53:56
mbam-log-2011-06-02 (23-53-56).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 344278
Temps écoulé: 1 heure(s), 16 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

Bonjour,

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://pjjoint.malekal.com/ 

Si indisponible: 
http://www.cijoint.fr/ 

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com 

* Rends toi sur http://pjjoint.malekal.com/ 
* Clique sur le bouton Parcourir 
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
*Clique sur le bouton Envoyer 
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.

marinette777 · Answer

j'espère que ça a bien marché, voici le lien:
https://pjjoint.malekal.com/files.php?id=f26a612f7115711

Utilisateur anonyme · Answer

Re,

Beaucoup d'adwares!

* Télécharge de AD-Remover sur ton Bureau. 
http://www.teamxscript.org/adremoverTelechargement.html 

/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

marinette777 · Answer

Re,
Ca y'est c'est fait. Jsais pas si y'a encore autre chose à faire mais déjà un grand merci pour ton aide!
Voilà le rapport:

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:21:10 le 03/06/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
Famille DEMAN@FAMILLE-DEMAN (PACKARD BELL BV IMEDIA J9679) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Fichier supprimé: C:\Windows\system32\ConduitEngine.tmp
Fichier supprimé: C:\Users\Famille DEMAN\AppData\Roaming\Mozilla\FireFox\Profiles\pk6mq8c1.default\searchplugins\alot-search.xml
Fichier supprimé: C:\Users\Famille DEMAN\AppData\Roaming\Mozilla\FireFox\Profiles\pk6mq8c1.default\searchplugins\askcom.xml
Fichier supprimé: C:\Users\Famille DEMAN\AppData\Roaming\Mozilla\FireFox\Profiles\pk6mq8c1.default\searchplugins\fissa.xml
Dossier supprimé: C:\Users\Famille DEMAN\AppData\Local\Conduit
Dossier supprimé: C:\Users\Famille DEMAN\AppData\LocalLow\Conduit
Dossier supprimé: C:\Program Files\Conduit
Dossier supprimé: C:\Users\Famille DEMAN\AppData\LocalLow\ConduitEngine
Dossier supprimé: C:\Program Files\ConduitEngine
Dossier supprimé: C:\Users\Famille DEMAN\AppData\Roaming\FissaSearch
Dossier supprimé: C:\Users\DEMAN\AppData\Roaming\OpenCandy
Dossier supprimé: C:\Users\Famille DEMAN\AppData\LocalLow\PriceGong
Dossier supprimé: C:\ProgramData\Viewpoint
Dossier supprimé: C:\Program Files\Viewpoint
Dossier supprimé: C:\Users\Famille DEMAN\AppData\Roaming\OfferBox
Dossier supprimé: C:\Users\DEMAIN Mickael\AppData\Roaming\OfferBox
Dossier supprimé: C:\Users\DEMAN\AppData\Roaming\OfferBox
Dossier supprimé: C:\Users\Invité\AppData\Roaming\OfferBox
Dossier supprimé: C:\Program Files\OfferBox

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Famille DEMAN\AppData\Roaming\Mozilla\FireFox\Profiles\pk6mq8c1.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé supprimée: HKLM\Software\Classes\CLSID\{06643CF1-5505-4EC1-9642-D5B46F239CCC}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{06643CF1-5505-4EC1-9642-D5B46F239CCC}
Clé supprimée: HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé supprimée: HKLM\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{EF7B43B7-43EF-48D0-A26C-AE2C0D186BAE}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\conduitEngine
Clé supprimée: HKLM\Software\MetaStream
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKLM\Software\Viewpoint
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\AppDataLow\Toolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\conduitEngine
Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E4836CA8-8514-49F6-8644-4E590780CAB1}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\OfferBox Browser
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox Browser
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom
Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé supprimée: HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé supprimée: HKLM\Software\MozillaPlugins\@viewpoint.com/VMP

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.17 (fr)] ****

Searchplugins\babylon.xml (hxxp://search.babylon.com/web/{searchTerms})

-- C:\Users\Famille DEMAN\AppData\Roaming\Mozilla\FireFox\Profiles\pk6mq8c1.default --
Extensions\2020Player@2020Technologies.com (20-20 3D Viewer)
Extensions\DTToolbar@toolbarnet.com (DAEMON Tools Toolbar)
Extensions\{364d4e0c-543f-4b85-abe3-19551139da4f} (Softonic_France Toolbar)
Prefs.js - browser.download.lastDir, C:\Users\Famille DEMAN\Documents\MARIE\Administratif\Pôle emploi
Prefs.js - browser.search.defaultenginename, Yahoo
Prefs.js - browser.search.defaulturl, hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=
Prefs.js - browser.search.selectedEngine, Yahoo
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17
Prefs.js - keyword.URL, hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-&p=

-- C:\Users\DEMAIN Mickael\AppData\Roaming\Mozilla\FireFox\Profiles\076hinky.default --
Extensions\staged-xpis (?)
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17

-- C:\Users\DEMAN\AppData\Roaming\Mozilla\FireFox\Profiles\gagv58t6.default --
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\qtllrxcf.default --
Prefs.js - browser.download.lastDir, C:\Users\Invité\Desktop
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.17

========================================

**** Internet Explorer Version [7.0.6002.18005] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files\Softonic_France\prxtbSof0.dll)
HKLM_URLSearchHooks|{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files\Softonic_France\prxtbSof0.dll)
HKCU_SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E} - "Google Desktop" (hxxp://127.0.0.1:4664/search&s=m75yPsGqA6ul5yVqeRYdSqL2mD8?q={searchTerms})
HKCU_Toolbar\WebBrowser|{4DAAC69C-CBA7-45E2-9BC8-1044483D3352} (C:\Program Files\Softonic_France\prxtbSof0.dll)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)
HKLM_Toolbar|{90222687-F593-4738-B738-FBEE9C7B26DF} (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll)
HKLM_Toolbar|{4daac69c-cba7-45e2-9bc8-1044483d3352} (C:\Program Files\Softonic_France\prxtbSof0.dll)
HKLM_Toolbar|{32099AAC-C132-4136-9E9A-4E364A424E17} (C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll)
HKLM_ElevationPolicy\{B9E72488-13D4-423A-B936-5A459950883E} - C:\Users\Famille DEMAN\AppData\Local\Conduit\CT2542115\Softonic_FranceAutoUpdaterHelper.exe (x)
HKLM_Extensions\{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - "Translate this web page with Babylon" (C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll,202)
BHO\{1E8A6170-7264-4D0F-BEAE-D42A53123C75} - "?" (C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll)
BHO\{4daac69c-cba7-45e2-9bc8-1044483d3352} - "Softonic_France Toolbar" (C:\Program Files\Softonic_France\prxtbSof0.dll)
BHO\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - "Babylon IE plugin" (C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll) (x)
BHO\{CA6319C0-31B7-401E-A518-A07C3DB8F777} - "CBrowserHelperObject Object" (C:\Program Files\Google\Google_BAE\BAE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 173 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 03/06/2011 15:21:16 (10634 Octet(s)) 

Fin à: 15:23:03, 03/06/2011 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Re,

Télécharge ZHPFixScript1.txt sur ton bureau depuis ce lien :
http://www.cijoint.fr/cjlink.php?file=cj201106/cijGl1Eo72.rtf
Lance ZHPFix et clique sur le H (coller les lignes helpers) 
Fait un glisser/déposer de ZHPFixScript1.txt dans ZHPFix 
Clique sur le bouton GO 
Héberge le rapport, et donne le lien

marinette777 · Answer

Voila le lien:
http://www.cijoint.fr/cjlink.php?file=cj201106/cijyzNHxz4.txt

Utilisateur anonyme · Answer

Re,

Maintenant un nouveau rapport ZHPDiag stp

@+

marinette777 · Answer

Voila un nouveau rapport:
http://www.cijoint.fr/cjlink.php?file=cj201106/cijkmDRnpz.txt

Utilisateur anonyme · Answer

Re, 

Il reste des lignes à fixer  

Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  


O2 - BHO: UrlHelper Class [64Bits] - {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} . (.Pas de propriétaire - Pas de description.) -- C:\PROGRA~2\WI3C8A~1\Datamngr\x64\IEBHO.dll    => Infection PUP (Adware.Bandoo) 
O42 - Logiciel: Monopoly Deluxe By Sylvain8992 version Pré Craké - (.By Sylvain8992.) [HKLM][64Bits] -- {481A24FA-DED0-465B-8CB2-1706B11FD9E2}_is1    => Infection PUP (Crack.Agent) 
O42 - Logiciel: Windows iLivid Toolbar - (.Bandoo Media, Inc.) [HKLM][64Bits] -- Searchqu 406 MediaBar    => Infection BT (Adware.Bandoo) 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]    => Infection PUP (Adware.Bandoo) 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu 406 MediaBar]



Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO  

Copie/Colle le rapport à l'écran dans ton prochain message. 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-* 
Membre, Contributeur 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

marinette777 · Answer

Re,
voilà le rapport
Rapport de ZHPFix 1.12.3292 par Nicolas Coolman, Update du 01/06/2011
Fichier d'export Registre : 
Run by Famille DEMAN at 03/06/2011 23:01:28
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
ABSENT: O42 - Logiciel: Monopoly Deluxe By Sylvain8992 version Pré Craké - (.By Sylvain8992.) [HKLM][64Bits] -- {481A24FA-DED0-465B-8CB2-1706B11FD9E2}_is1
ABSENT: O42 - Logiciel: Windows iLivid Toolbar - (.Bandoo Media, Inc.) [HKLM][64Bits] -- Searchqu 406 MediaBar

========== Clé(s) du Registre ==========
SUPPRIME O2 - BHO: UrlHelper Class - {A40DC6C5-79D0-4ca8-A185-8FF989AF1115} . (.Pas de propriétaire - Pas de description.) -- C:\PROGRA~2\WI3C8A~1\Datamngr\x64\IEBHO.dll
SUPPRIME HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}
SUPPRIME HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Searchqu 406 MediaBar

========== Fichier(s) ==========
ABSENT: c:\progra~2\wi3c8a~1\datamngr\x64\iebho.dll


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Fichier(s)
2 : Logiciel(s)


End of the scan

Utilisateur anonyme · Answer

Re, 

Copie tout le texte présent  ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  

O4 - Global Startup: C:\Users\Famille DEMAN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Babylon.lnk . (...)  -- C:\Program Files\Babylon\Babylon-Pro\Babylon.exe (.not file.)    => Infection BT (Toolbar.Babylon) 
O8 - Extra context menu item: Translate this web page with Babylon - (.not file.) - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll    => Infection BT (Toolbar.Babylon) 
O8 - Extra context menu item: Translate with Babylon - (.not file.) - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll    => Infection BT (Toolbar.Babylon) 
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} -- C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (.not file.)    => Infection BT (Toolbar.Babylon) 
[HKCU\Software\Babylon]    => Infection BT (Toolbar.Babylon) 
[HKLM\Software\Babylon]    => Infection BT (Toolbar.Babylon) 





Puis Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

Clique sur le bouton  GO  

Copie/Colle le rapport à l'écran dans ton prochain message. 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-* 
Membre, Contributeur 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

Infecté par W32/Blaster.worm

19 réponses

Votre réponse

Discussions similaires

Newsletters