Virus ou cheval de troie? HELP MERCI

Question

Bonjour, 



J'ai eu plusieurs fenêtre polluantes qui sont apparues sur mon écran, j'ai téléchargé malwarebytes et tenté de supprimer les fenêtres. La première fois ça a fonctionné, la 2nde fois tous les dossiers de mon bureau et dans mes dossiers démarrage ont disparu...

Je suis sous Windows vista.

Depuis, mon ordinateur est très lent et mes recherches google pareilles. Je suis redirigés sur des sites (ex: coinclicker, mongols..) je me demande si je n'ai pas un virus?

Que dois je faire? Je ne suis pas une flèche en informatique...

MERCI

juju666 · Accepted Answer

Tes fichiers ne sont pas réapparus ???
Mince ...

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)   

&#9654 &#9654 Sous Windows XP, double clic gauche   

&#9654 &#9654  Sous Vista/Seven, clique droit, lancer en tant qu''administrateur   

&#9654 Quitte tous tes programmes en cours   
&#9654 Lance RogueKiller.exe.   
&#9654 Un scan se lance, puis tu verra d''indiqué dans la fenêtre  
&#9654 &#9654 1. Scan (écrit en vert) 
&#9654 &#9654 2. Delete (écrit en rouge)  
&#9654 &#9654 3. Hosts RAZ (écrit en rouge)  
&#9654 &#9654 4. Proxy RAZ (écrit en rouge) 
&#9654 &#9654 5. DNS RAZ (écrit en rouge) 
&#9654 &#9654 6. Raccourcis RAZ (écrit en rouge) 
&#9654  A ce moment tape 2 et valide   
Note: s''il te demande de supprimer le proxy, tape 4   
&#9654 Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse 
&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
&#9654 Tape maintenant 6 
&#9654 Poste RKReport2 
&#9654 Tu peux fermer RogueKiller

cantous · Answer

OMG mec tu doit installer un antivirus comme Kaspersky voila le lien il est tres fort contre les trojens et les virus !! Voila le lien https://www.kaspersky.fr/downloads

juju666 · Answer

Hello,

1/ Poste le rapport MBAM

2/ 
Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique. 

désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu 

Télécharge Pre_scan (de gen-hackman)

&#9830 Enregistre le sur ton bureau  
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau 

&#9654 Exécute Pre_scan. Si l'outil détecte un proxy  et que tu n''en as pas installé  clique sur "supprimer le proxy"

&#9654 Une fois qu'il aura fini, un rapport s'ouvrira. 

&#9830 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

problèmes78 · Answer

Euh... c'est quoi le rapport MBAM?

cantous · Answer

Pour savoir si vous etes infecter par un trojan tu doit suivre ces etapes:
1) Ferme tout les application ki fonctionne avec la conection internet !!
2) oUvre le gestionnaire des taches 
3) Va sur mise en reseau 
4) Si vosu etes en connection local regard bien la ligne vert si elle bouge up and down sa veut dire que vous etes un victime
5) Si vous etes on wifi scroll down et regard la ligne vert !!
6) Apres go Processus et Terminer le processus de ces 2 virus connu ( Winlogin , RECYCLER , SVCHOST en majiscule )
Tout ces application sont marquer comme des application Admin !! pas systeme ou service local !!



Pour plus d'aide fait un screen de ton Gestionnaire de tache et met le sur https://imageshack.com/ apres met ici les lien des screens on peut comme sa vous fournir du bonne aide ^^

problèmes78 · Answer

Voici le rapport MALWAREBYTES en recherche rapide : Il n'a rien détecté...

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6887

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

18/06/2011 16:24:39
mbam-log-2011-06-18 (16-24-39).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 159171
Temps écoulé: 4 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

===

Voici le rapport pre_scan :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijx9Lv79U.txt


merci mercii

cantous · Answer

Je veut des screen mec pour t'aidez !!! Les trojen comme spynet et bifrost et surtout turkojan ne sont pas detecter par les antivirus comme AVG et MalWarbyte et nod32....

Tu as besoin d'un kaspersky !! Fait les screen de ta gestionnaire ou fait moi une list des processus !

juju666 · Answer

Fais glisser une icone de ton bureau sur l'icone de pre scan : pre script va apparaitre

ouvre pre script
dans le bloc note qui s ouvre colle ça (sans les lignes !!!)

________________________________________
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AppleSyncNotifier"=-
"QuickTime Task"=-
"iTunesHelper"=-
""=-

attrib::
_________________________________________

laisse travailler l'outil et poste le rapport

problèmes78 · Answer

Désolé je prends du temps.

J'ai perdu tous mes fichier et dossier (même paint), je n'avais rien où coller l'image...

Voici le lien pour la photo du réseau : 
http://imageshack.us/photo/my-images/688/copiecranrseau.jpg/

problèmes78 · Answer

Voici le rapport roguekiller : RogueKiller V5.2.3 [16/06/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: ADM [Droits d'admin] Mode: Suppression -- Date : 18/06/2011 16:56:20 Processus malicieux: 0 Entrees de registre: 1 [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1) Fichier HOSTS: Termine : << RKreport[1].txt >> RKreport[1].txt

juju666 · Answer

ok nickel :) 
c'pas fini je sais ^^

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

problèmes78 · Answer

TDSKILLER ne s'ouvre pas...  c'est normal?

juju666 · Answer

non.

 /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\  

Si tu utilises AVG, IL FAUT IMPÉRATIVEMENT LE DÉSINSTALLER avant d''utiliser Combofix car il peut causer des dégâts en interaction avec l''outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n''est pas suffisante. 
Télécharge le désinstalleur d''AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_______________________________________________________________

Les logiciels d''émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau
&#9654 Lance le
&#9654 Une fenêtre apparait : clique sur "Disable"
&#9654 Fais redémarrer l''ordinateur si l''outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 
_______________________________________________________________

&#9654 /!\ IMPORTANT /!\  
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/ 
_______________________________________________________________

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
&#9654 &#9654 Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC  

&#9654 En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  
&#9654 Une fois le scan achevé, un rapport va s''afficher : Poste son contenu  
&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\  

Notes: 
-> Le rapport se trouve également là : C:\ComboFix.txt   
-> tutoriel combofix

problèmes78 · Answer

ComboFix 11-06-17.04 - ADM 18/06/2011  19:05:31.1.2 - x86 NETWORK
Microsoft Windows 7 Professionnel   6.1.7600.0.1252.33.1036.18.2937.1950 [GMT 2:00]
Lancé depuis: C:\probleme78.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\xp
c:\programdata\xp\EBLib.dll
c:\programdata\xp\TPwSav.sys
c:\users\ADM\AppData\Local\inlog
c:\users\ADM\AppData\Roaming\19ridof.log
c:\users\ADM\AppData\Roaming\661469841311852268707EC17C0603B1
c:\users\ADM\AppData\Roaming\661469841311852268707EC17C0603B1\enemies-names.txt
c:\users\ADM\AppData\Roaming\661469841311852268707EC17C0603B1\local.ini
c:\users\ADM\AppData\Roaming\661469841311852268707EC17C0603B1\lsrslt.ini
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-05-18 au 2011-06-18  ))))))))))))))))))))))))))))))))))))
.
.
2011-06-18 17:09 . 2011-06-18 17:09	--------	d-----w-	c:\users\ADM\AppData\Local	emp
2011-06-18 17:09 . 2011-06-18 17:09	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-06-18 14:36 . 2011-06-18 14:36	--------	d-----w-	c:\program files\Paint.NET
2011-06-18 14:35 . 2011-06-18 14:37	--------	d-----w-	c:\users\ADM\AppData\Local\Paint.NET
2011-06-18 14:13 . 2011-06-18 14:13	57344	----a-w-	c:\windows\system32dpsign.exe
2011-06-18 14:13 . 2011-06-18 14:13	257024	----a-w-	c:\windows\system32dpshell.exe
2011-06-18 14:13 . 2011-06-18 14:13	159744	----a-w-	c:\windows\system32dpinit.exe
2011-06-18 14:12 . 2011-06-18 14:12	219648	----a-w-	c:\windows\system32\fsquirt.exe
2011-06-18 14:12 . 2011-06-18 14:12	99328	----a-w-	c:\windows\system32\BitLockerWizardElev.exe
2011-06-18 14:12 . 2011-06-18 14:12	99328	----a-w-	c:\windows\system32\BitLockerWizard.exe
2011-06-18 14:12 . 2011-06-18 14:12	126464	----a-w-	c:\windows\system32\BdeHdCfg.exe
2011-06-18 14:12 . 2011-06-18 14:12	108032	----a-w-	c:\windows\system32\baaupdate.exe
2011-06-18 14:12 . 2011-06-18 14:43	--------	d-----w-	C:\Kill'em
2011-06-18 11:13 . 2011-06-18 14:02	--------	d-----w-	c:\programdata\AVAST Software
2011-06-18 11:13 . 2011-06-18 11:13	--------	d-----w-	c:\program files\AVAST Software
2011-06-18 09:44 . 2011-06-18 09:44	167052	----a-w-	c:\users\cc_20110618_114357.reg
2011-06-17 22:10 . 2011-06-17 22:10	--------	d-----w-	c:\users\ZHP
2011-06-17 22:06 . 2011-06-17 22:06	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-06-17 22:04 . 2011-06-17 22:06	--------	d-----w-	c:\program files\ZHPDiag
2011-06-17 19:16 . 2011-05-09 20:46	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{87A7744F-FE56-4818-956C-94805A9B04CC}\mpengine.dll
2011-06-13 18:01 . 2011-06-13 18:01	--------	d-----w-	c:\users\ADM\AppData\Local\MLSofts
2011-06-13 17:55 . 2011-06-13 17:55	--------	d-----w-	c:\program files\MLSofts
2011-06-08 18:42 . 2011-04-14 16:47	89048	----a-w-	c:\program files\Mozilla Firefox\libEGL.dll
2011-06-08 18:42 . 2011-04-14 16:47	781272	----a-w-	c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-06-08 18:42 . 2011-04-14 16:47	719832	----a-w-	c:\program files\Mozilla Firefox\mozcpp19.dll
2011-06-08 18:42 . 2011-04-14 16:47	465880	----a-w-	c:\program files\Mozilla Firefox\libGLESv2.dll
2011-06-08 18:42 . 2011-04-14 16:47	1874904	----a-w-	c:\program files\Mozilla Firefox\mozjs.dll
2011-06-08 18:42 . 2011-04-14 16:47	16856	----a-w-	c:\program files\Mozilla Firefox\plugin-container.exe
2011-06-08 18:42 . 2011-04-14 16:47	15832	----a-w-	c:\program files\Mozilla Firefox\mozalloc.dll
2011-06-08 18:42 . 2011-04-14 16:47	142296	----a-w-	c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-06-08 18:42 . 2010-01-01 08:00	1974616	----a-w-	c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-06-08 18:42 . 2010-01-01 08:00	1892184	----a-w-	c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-06-08 18:33 . 2011-06-08 18:33	--------	d-----w-	c:\program files\CCleaner
2011-05-25 18:39 . 2011-04-22 19:36	26496	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2011-05-24 16:00 . 2011-04-09 05:56	123904	----a-w-	c:\windows\system32\poqexec.exe
2011-05-23 20:27 . 2011-05-23 20:27	--------	d-----w-	c:\program files\pdfforge Toolbar
2011-05-23 20:27 . 2011-05-23 20:27	--------	d-----w-	c:\program files\Application Updater
2011-05-23 20:27 . 2011-05-23 20:27	--------	d-----w-	c:\program files\Common Files\Spigot
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-05-17 17:42	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-18 17:07 . 2011-04-18 17:07	159080	----a-w-	c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10138.bin
2011-04-09 06:13 . 2011-05-11 17:09	3957632	----a-w-	c:\windows\system32
tkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 17:09	3901824	----a-w-	c:\windows\system32
toskrnl.exe
2011-03-25 03:06 . 2011-05-11 17:09	258560	----a-w-	c:\windows\system32\drivers\usbhub.sys
2011-03-25 03:06 . 2011-05-11 17:10	284160	----a-w-	c:\windows\system32\drivers\usbport.sys
2011-03-25 03:06 . 2011-05-11 17:09	75776	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2011-03-25 03:06 . 2011-05-11 17:10	43008	----a-w-	c:\windows\system32\drivers\usbehci.sys
2011-03-25 03:06 . 2011-05-11 17:09	20480	----a-w-	c:\windows\system32\drivers\usbohci.sys
2011-03-25 03:06 . 2011-05-11 17:09	24064	----a-w-	c:\windows\system32\drivers\usbuhci.sys
2011-03-25 03:06 . 2011-05-11 17:09	5888	----a-w-	c:\windows\system32\drivers\usbd.sys
2011-04-14 16:47 . 2011-06-08 18:42	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-04 39408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information	opi.exe" [2009-08-12 6203296]
.
c:\users\ADM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-2-19 503808]
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 Application Updater;Application Updater;c:\program files\Application Updater\ApplicationUpdater.exe [2011-05-06 393112]
R2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files\TOSHIBA\ConfigFree\CFIWmxSvcs.exe [2009-08-10 185712]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 135664]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
R2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2009-08-06 116104]
R2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2009-08-27 185712]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 135664]
R3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 24064]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RTL8187B;Carte réseau USB 2.0 Realtek RTL8187B sans fil 802.11b/g 54 Mbits/s;c:\windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\DRIVERS	ap0801.sys [2006-10-01 26624]
R3 TMachInfo;TMachInfo;c:\program files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-08-17 51512]
R3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-08-03 111960]
R3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2009-08-06 685424]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-29 1343400]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [2009-06-19 12920]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-05-22 167936]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERStl8192se.sys [2009-08-27 859136]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 00:56]
.
2011-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 00:56]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.Google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\users\ADM\AppData\Roaming\Mozilla\Firefox\Profiles\htxwhzhy.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.Fr
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-mcmscsvc
SafeBoot-MCODS
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-06-18  19:11:14
ComboFix-quarantined-files.txt  2011-06-18 17:11
.
Avant-CF: 126 276 038 656 octets libres
Après-CF: 126 086 426 624 octets libres
.
- - End Of File - - DDF3A5D46AA9561D63900FCCBAA46342

Voilà le rapport ComboFix en mode sans echec!

juju666 · Answer

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

&#9654 &#9654 SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!! 

&#9654 Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 


KillAll

DeQuarantine::
c:\programdata\xp

Folder::
c:\program files\pdfforge Toolbar    
c:\program files\Application Updater    
c:\program files\Common Files\Spigot    

Driver::
Application Updater



&#9654 Enregistre ce fichier sous le nom  CFScript 

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif 

&#9654 Combofix se lance, laisse toi guider.. 

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal! 
Ne touche à rien tant que le scan n''est pas terminé. 
&#9654 Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis 

&#9654 Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt

problèmes78 · Answer

ComboFix 11-06-17.04 - ADM 18/06/2011  19:30:40.2.2 - x86
Microsoft Windows 7 Professionnel   6.1.7600.0.1252.33.1036.18.2937.1936 [GMT 2:00]
Lancé depuis: c:\users\ADM\Desktop\probleme78.exe
Commutateurs utilisés :: c:\users\ADM\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Application Updater
c:\program files\Application Updater\ApplicationUpdater.exe
c:\program files\Application Updater\config.ini
c:\program files\Common Files\Spigot
c:\program files\Common Files\Spigot\Search Settings\config.ini
c:\program files\Common Files\Spigot\Search Settings\SearchSettings.exe
c:\program files\Common Files\Spigot\Search Settings\yahoo_ff.xml
c:\program files\Common Files\Spigot\Search Settings\yahoo_ie.xml
c:\program files\Common Files\Spigot\wtxpcom\chrome.manifest
c:\program files\Common Files\Spigot\wtxpcom\components\IFBHOHelperWidgiToolbar.xpt
c:\program files\Common Files\Spigot\wtxpcom\components\IFBHOWidgiToolbar.xpt
c:\program files\Common Files\Spigot\wtxpcom\install.rdf
c:\program files\pdfforge Toolbar
c:\program files\pdfforge Toolbar\FF\chrome.manifest
c:\program files\pdfforge Toolbar\FF\chrome\content\chevron.js
c:\program files\pdfforge Toolbar\FF\chrome\content\chevron.xul
c:\program files\pdfforge Toolbar\FF\chrome\content\login.js
c:\program files\pdfforge Toolbar\FF\chrome\content\login.xul
c:\program files\pdfforge Toolbar\FF\chrome\content\parser.js
c:\program files\pdfforge Toolbar\FF\chrome\content\RssTickerWidget.js
c:\program files\pdfforge Toolbar\FF\chrome\content\searchbox.js
c:\program files\pdfforge Toolbar\FF\chrome\content\searchbox.xul
c:\program files\pdfforge Toolbar\FF\chrome\content\utils.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgichevron.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgicomm.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgihandling.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgilisteners.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgitoolbarplugin.js
c:\program files\pdfforge Toolbar\FF\chrome\content\widgitoolbarplugin.xul
c:\program files\pdfforge Toolbar\FF\chrome\content\widgiui.js
c:\program files\pdfforge Toolbar\FF\chrome\locale\EN-US\searchbox.dtd
c:\program files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.dtd
c:\program files\pdfforge Toolbar\FF\chrome\locale\EN-US\widgitoolbarplugin.properties
c:\program files\pdfforge Toolbar\FF\chrome\locale\EN-US\yahoo-search.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\amazon.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\chevron.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\ebay.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\icon_settings.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\pdfc_branding.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\pdfc_branding_hover.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\pdfc_icon.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\pdfc_portal_logo.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search-button-hover.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search-button.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search-chevron-hover.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search-chevron.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search_amazon.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search_ebay.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\search_yahoo.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\searchbox.css
c:\program files\pdfforge Toolbar\FF\chrome\skin\splitter.gif
c:\program files\pdfforge Toolbar\FF\chrome\skin\widgitoolbarplugin.css
c:\program files\pdfforge Toolbar\FF\install.rdf
c:\program files\pdfforge Toolbar\IE\4.4\config.ini
c:\program files\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll
c:\program files\pdfforge Toolbar\Res\amazon.gif
c:\program files\pdfforge Toolbar\Res\ebay.gif
c:\program files\pdfforge Toolbar\Res\icon_settings.gif
c:\program files\pdfforge Toolbar\Res\pdfc_branding.gif
c:\program files\pdfforge Toolbar\Res\pdfc_branding_hover.gif
c:\program files\pdfforge Toolbar\Res\pdfc_icon.gif
c:\program files\pdfforge Toolbar\Res\pdfc_portal_logo.gif
c:\program files\pdfforge Toolbar\Res\search-button-hover.gif
c:\program files\pdfforge Toolbar\Res\search-button.gif
c:\program files\pdfforge Toolbar\Res\search-chevron-hover.gif
c:\program files\pdfforge Toolbar\Res\search-chevron.gif
c:\program files\pdfforge Toolbar\Res\search_amazon.gif
c:\program files\pdfforge Toolbar\Res\search_ebay.gif
c:\program files\pdfforge Toolbar\Res\search_yahoo.gif
c:\program files\pdfforge Toolbar\Res\widgets.xml
c:\program files\pdfforge Toolbar\WidgiHelper.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_Application Updater
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-05-18 au 2011-06-18  ))))))))))))))))))))))))))))))))))))
.
.
2011-06-18 17:35 . 2011-06-18 17:37	--------	d-----w-	c:\users\ADM\AppData\Local	emp
2011-06-18 14:36 . 2011-06-18 14:36	--------	d-----w-	c:\program files\Paint.NET
2011-06-18 14:35 . 2011-06-18 14:37	--------	d-----w-	c:\users\ADM\AppData\Local\Paint.NET
2011-06-18 14:13 . 2011-06-18 14:13	57344	----a-w-	c:\windows\system32dpsign.exe
2011-06-18 14:13 . 2011-06-18 14:13	257024	----a-w-	c:\windows\system32dpshell.exe
2011-06-18 14:13 . 2011-06-18 14:13	159744	----a-w-	c:\windows\system32dpinit.exe
2011-06-18 14:12 . 2011-06-18 14:12	219648	----a-w-	c:\windows\system32\fsquirt.exe
2011-06-18 14:12 . 2011-06-18 14:12	99328	----a-w-	c:\windows\system32\BitLockerWizardElev.exe
2011-06-18 14:12 . 2011-06-18 14:12	99328	----a-w-	c:\windows\system32\BitLockerWizard.exe
2011-06-18 14:12 . 2011-06-18 14:12	126464	----a-w-	c:\windows\system32\BdeHdCfg.exe
2011-06-18 14:12 . 2011-06-18 14:12	108032	----a-w-	c:\windows\system32\baaupdate.exe
2011-06-18 14:12 . 2011-06-18 14:43	--------	d-----w-	C:\Kill'em
2011-06-18 11:13 . 2011-06-18 14:02	--------	d-----w-	c:\programdata\AVAST Software
2011-06-18 11:13 . 2011-06-18 11:13	--------	d-----w-	c:\program files\AVAST Software
2011-06-18 09:44 . 2011-06-18 09:44	167052	----a-w-	c:\users\cc_20110618_114357.reg
2011-06-17 22:10 . 2011-06-18 17:11	--------	d-----w-	c:\users\ZHP
2011-06-17 22:06 . 2011-06-17 22:06	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-06-17 22:04 . 2011-06-17 22:06	--------	d-----w-	c:\program files\ZHPDiag
2011-06-17 19:16 . 2011-05-09 20:46	6962000	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{87A7744F-FE56-4818-956C-94805A9B04CC}\mpengine.dll
2011-06-13 18:01 . 2011-06-13 18:01	--------	d-----w-	c:\users\ADM\AppData\Local\MLSofts
2011-06-13 17:55 . 2011-06-13 17:55	--------	d-----w-	c:\program files\MLSofts
2011-06-08 18:42 . 2011-04-14 16:47	89048	----a-w-	c:\program files\Mozilla Firefox\libEGL.dll
2011-06-08 18:42 . 2011-04-14 16:47	781272	----a-w-	c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-06-08 18:42 . 2011-04-14 16:47	719832	----a-w-	c:\program files\Mozilla Firefox\mozcpp19.dll
2011-06-08 18:42 . 2011-04-14 16:47	465880	----a-w-	c:\program files\Mozilla Firefox\libGLESv2.dll
2011-06-08 18:42 . 2011-04-14 16:47	1874904	----a-w-	c:\program files\Mozilla Firefox\mozjs.dll
2011-06-08 18:42 . 2011-04-14 16:47	16856	----a-w-	c:\program files\Mozilla Firefox\plugin-container.exe
2011-06-08 18:42 . 2011-04-14 16:47	15832	----a-w-	c:\program files\Mozilla Firefox\mozalloc.dll
2011-06-08 18:42 . 2011-04-14 16:47	142296	----a-w-	c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-06-08 18:42 . 2010-01-01 08:00	1974616	----a-w-	c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-06-08 18:42 . 2010-01-01 08:00	1892184	----a-w-	c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-06-08 18:33 . 2011-06-08 18:33	--------	d-----w-	c:\program files\CCleaner
2011-05-25 18:39 . 2011-04-22 19:36	26496	----a-w-	c:\windows\system32\drivers\Diskdump.sys
2011-05-24 16:00 . 2011-04-09 05:56	123904	----a-w-	c:\windows\system32\poqexec.exe
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-29 07:11 . 2011-05-17 17:42	39984	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-18 17:07 . 2011-04-18 17:07	159080	----a-w-	c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10138.bin
2011-04-09 06:13 . 2011-05-11 17:09	3957632	----a-w-	c:\windows\system32
tkrnlpa.exe
2011-04-09 06:13 . 2011-05-11 17:09	3901824	----a-w-	c:\windows\system32
toskrnl.exe
2011-03-25 03:06 . 2011-05-11 17:09	258560	----a-w-	c:\windows\system32\drivers\usbhub.sys
2011-03-25 03:06 . 2011-05-11 17:10	284160	----a-w-	c:\windows\system32\drivers\usbport.sys
2011-03-25 03:06 . 2011-05-11 17:09	75776	----a-w-	c:\windows\system32\drivers\usbccgp.sys
2011-03-25 03:06 . 2011-05-11 17:10	43008	----a-w-	c:\windows\system32\drivers\usbehci.sys
2011-03-25 03:06 . 2011-05-11 17:09	20480	----a-w-	c:\windows\system32\drivers\usbohci.sys
2011-03-25 03:06 . 2011-05-11 17:09	24064	----a-w-	c:\windows\system32\drivers\usbuhci.sys
2011-03-25 03:06 . 2011-05-11 17:09	5888	----a-w-	c:\windows\system32\drivers\usbd.sys
2011-04-14 16:47 . 2011-06-08 18:42	142296	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-09-04 39408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"="c:\program files\TOSHIBA\Toshiba Online Product Information	opi.exe" [2009-08-12 6203296]
.
c:\users\ADM\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
LimeWire On Startup.lnk - c:\program files\LimeWire\LimeWire.exe [2010-2-19 503808]
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
c:\users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
TRDCReminder.lnk - c:\program files\TOSHIBA\TRDCReminder\TRDCReminder.exe [2009-9-1 481184]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 135664]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2011-05-29 366640]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 135664]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [2009-07-30 171520]
R3 RTL8187B;Carte réseau USB 2.0 Realtek RTL8187B sans fil 802.11b/g 54 Mbits/s;c:\windows\system32\DRIVERS\RTL8187B.sys [2009-07-13 347136]
R3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys [x]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\DRIVERS	ap0801.sys [2006-10-01 26624]
R3 TMachInfo;TMachInfo;c:\program files\TOSHIBA\TOSHIBA Service Station\TMachInfo.exe [2009-08-17 51512]
R3 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;c:\program files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-08-03 111960]
R3 TPCHSrv;TPCH Service;c:\program files\TOSHIBA\TPHM\TPCHSrv.exe [2009-08-06 685424]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-06-29 1343400]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 cfWiMAXService;ConfigFree WiMAX Service;c:\program files\TOSHIBA\ConfigFree\CFIWmxSvcs.exe [2009-08-10 185712]
S2 ConfigFree Service;ConfigFree Service;c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe [2009-03-10 46448]
S2 TemproMonitoringService;Notebook Performance Tuning Service (TEMPRO);c:\program files\Toshiba TEMPRO\TemproSvc.exe [2009-08-06 116104]
S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;c:\program files\TOSHIBA\TECO\TecoService.exe [2009-08-27 185712]
S2 TVALZFL;TOSHIBA ACPI-Based Value Added Logical and General Purpose Device Filter Driver;c:\windows\system32\DRIVERS\TVALZFL.sys [2009-06-19 12920]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [2009-07-10 122880]
S3 PGEffect;Pangu effect driver;c:\windows\system32\DRIVERS\pgeffect.sys [2009-06-22 24064]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-05-22 167936]
S3 rtl8192se;Realtek Wireless LAN 802.11n PCI-E NIC NT Driver;c:\windows\system32\DRIVERStl8192se.sys [2009-08-27 859136]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 00:56]
.
2011-06-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-03-14 00:56]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.Google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
FF - ProfilePath - c:\users\ADM\AppData\Roaming\Mozilla\Firefox\Profiles\htxwhzhy.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - prefs.js: browser.startup.homepage - hxxp://www.google.Fr
FF - prefs.js: keyword.URL - hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p=
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\system32\TODDSrv.exe
c:\program files\TOSHIBA\Power Saver\TosCoSrv.exe
c:\windows\system32	askhost.exe
c:\program files\Internet Explorer\iexplore.exe
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\conhost.exe
c:\program files\Google\Google Toolbar\GoogleToolbarUser_32.exe
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\TOSHIBA\ConfigFree\NDSTray.exe
c:\program files\TOSHIBA\ConfigFree\CFSwMgr.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Heure de fin: 2011-06-18  19:41:03 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-06-18 17:41
ComboFix2.txt  2011-06-18 17:11
.
Avant-CF: 126 224 887 808 octets libres
Après-CF: 125 708 890 112 octets libres
.
- - End Of File - - 2D13B5E0AA8E21211325445EC128FCCB

Quand je surf je suis toujours redirigé vers des sites suspects...

juju666 · Answer

&#9654 Rentre dans ton panneau de configuration....       
&#9654 Apparence et personnalisation...       
&#9654 Option des dossiers...(double cliquer dessus)       
&#9654 Dans l''onglet affichage un peu plus bas où il est indiqué "Afficher les dossiers et fichiers cachés": Coche cette option    
&#9654 Encore plus bas : Masquer les fichiers protégés du système d''exploitation (recommandé) : à décocher.    

&#9654 &#9654 ensuite rends toi sur ce lien:    
https://www.virustotal.com/gui/    

(si virustotal ne fonctionne pas: https://virusscan.jotti.org/fr   


&#9654 Là où il est indiqué "envoyer le fichier", Clique sur "parcourir"    
recherche les entrées suivante dans ton disque :    


c:\windows\system32\rdpsign.exe      

&#9654 cliques sur envoyer

&#9654 Si une fenêtre apparait disant, "Le fichier à déjà été Analysé", Alors clique sur Réanalyser le fichier maintenant    

&#9654 Copie et colle le lien de ta barre d''adresse ici, après que l''analyse soit terminée  

pareil avec ces 2 fichiers :
c:\windows\system32\rdpshell.exe      
c:\windows\system32\rdpinit.exe

problèmes78 · Answer

http://www.virustotal.com/file-scan/report.html?id=b8bb2594c7c70d12528843a1732b6f0d7dee5a4a0454b4314f732b60e161face-1308420248
http://www.virustotal.com/file-scan/report.html?id=d7fdd7ebea1dfc27ccea9a3fed12071ab9e08026054142428a10c2b9a789a01f-1308420406
http://www.virustotal.com/file-scan/report.html?id=cac5ed37efca12c0bd88fbc338d5fe0bb56efb31065ad9fd70ffd670baf2aa9a-1308420740

Voilà les résultats avec Virus Total, apparemment rien d'infecté ?

juju666 · Answer

Le truc c'est qu'ils étaient pas signés donc je voulais tester :)

refais un zhpdiag stp et héberge son rapport

problèmes78 · Answer

Voila le rapport numéro 2 :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijU7itA3r.txt

Toujours impossible d'accéder directement aux pages web, je suis toujours redirigé sur des sites suspects. Et google est très très lent.

juju666 · Answer

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com    => Infection BT (PUP.Dealio)
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com    => Infection BT (Adware.WidgiToolbar)
O42 - Logiciel: pdfforge Toolbar v4.4 - (.Spigot, Inc..) [HKLM] -- {BCB52F35-4C56-49F2-A3D6-FDED54B01847}    => Infection BT (PUP.Dealio)
[HKCU\Software\AppDataLow\Software\Search Settings]    => Infection PUP (PUP.Dealio)
[HKCU\Software\AppDataLow\Software\pdfforge]    => Infection BT (PUP.Dealio)
[HKLM\Software\Application Updater]    => Infection PUP (PUP.Dealio)
[HKLM\Software\Search Settings]    => Infection PUP (PUP.Dealio)
[HKLM\Software\pdfforge]    => Infection BT (PUP.Dealio)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    => Infection BT (Spyware.BHO)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]    => Infection BT (Spyware.BHO)
[HKLM\Software\Classes\Installer\Features\53F25BCB65C42F943A6DDFDE450B8174]    => Infection BT (Adware.BHO)
[HKLM\Software\Classes\Installer\Products\53F25BCB65C42F943A6DDFDE450B8174]    => Infection BT (Adware.BHO)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\53F25BCB65C42F943A6DDFDE450B8174]    => Infection BT (Adware.BHO)
[HKLM\Software\Application Updater]    => Infection PUP (PUP.Dealio)
[HKCU\Software\AppDataLow\Software\pdfforge]    => Infection BT (PUP.Dealio)
[HKLM\Software\pdfforge]    => Infection BT (PUP.Dealio)
[HKCU\Software\AppDataLow\Software\Search Settings]    => Infection PUP (PUP.Dealio)
[HKLM\Software\Search Settings]    => Infection PUP (PUP.Dealio)
C:\Users\ADM\Appdata\LocalLow\pdfforge    => Infection BT (PUP.Dealio)
C:\Users\ADM\Appdata\LocalLow\Search Settings    => Infection PUP (PUP.Dealio)
EMPTYTEMP


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l''outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l''encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

problèmes78 · Answer

Rapport de ZHPFix 1.12.3316 par Nicolas Coolman, Update du 16/06/2011
Fichier d'export Registre : 
Run by ADM at 18/06/2011 20:46:41
Windows 7 Business Edition, 32-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Partiel Software Key: {BCB52F35-4C56-49F2-A3D6-FDED54B01847}
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Search Settings
SUPPRIME Key: HKCU\Software\AppDataLow\Software\pdfforge
SUPPRIME Key: HKLM\Software\Application Updater
SUPPRIME Key: HKLM\Software\Search Settings
SUPPRIME Key: HKLM\Software\pdfforge
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\53F25BCB65C42F943A6DDFDE450B8174
SUPPRIME Key: HKLM\Software\Classes\Installer\Products\53F25BCB65C42F943A6DDFDE450B8174
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\53F25BCB65C42F943A6DDFDE450B8174
ABSENT Key: HKLM\Software\Application Updater
ABSENT Key: HKCU\Software\AppDataLow\Software\pdfforge
ABSENT Key: HKLM\Software\pdfforge
ABSENT Key: HKCU\Software\AppDataLow\Software\Search Settings
ABSENT Key: HKLM\Software\Search Settings

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 69

========== Fichier(s) ==========
SUPPRIME c:\program files\mozilla firefox\extensions\pdfforge@mybrowserbar.com
SUPPRIME c:\program files\mozilla firefox\extensions\wtxpcom@mybrowserbar.com
SUPPRIME File: C:\Users\ADM\Appdata\LocalLow\pdfforge
SUPPRIME Temporaires Windows: : 4


========== Récapitulatif ==========
16 : Clé(s) du Registre
1 : Dossier(s)
4 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt


End of the scan


=

Je redémarre

problèmes78 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201106/cijl00xFcK.txt

voila le rapport

juju666 · Answer

normalement t es plus redirigé, néanmoins refais un fix avec ça O42 - Logiciel: pdfforge Toolbar v4.4 - (.Spigot, Inc..) [HKLM] -- {BCB52F35-4C56-49F2-A3D6-FDED54B01847} => Infection BT (PUP.Dealio) C:\Users\ADM\Appdata\LocalLow\pdfforge => Infection BT (PUP.Dealio) C:\Users\ADM\Appdata\LocalLow\Search Settings => Infection PUP (PUP.Dealio) M3 - MFPP: Plugins - [ADM] -- C:\Program Files\Mozilla FireFox\searchplugins\pucuy.xml => pucuy.com [MD5.00000000000000000000000000000000] [APT] [{29C7E714-D97C-4861-A519-F5C7F2DB2F31}] (...) -- C:\Users\ADM\AppData\Roaming\661469841311852268707EC17C0603B1\sokdrt700.exe (.not file.) => Fichier absent O43 - CFD: 15/03/2010 - 01:21:36 - [1675] ----D- C:\ProgramData\Partner => Game O68 - StartMenuInternet: <>[HKLM\..\Shell\open\Command] (...) -- (.Not Key.) (.not file.) => Fichier absent

problèmes78 · Answer

Rapport de ZHPFix 1.12.3316 par Nicolas Coolman, Update du 16/06/2011
Fichier d'export Registre : C:\ZHPExportRegistry-18-06-2011-21-12-42.txt
Run by ADM at 18/06/2011 21:12:42
Windows 7 Business Edition, 32-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Partiel Software Key: {BCB52F35-4C56-49F2-A3D6-FDED54B01847}
ABSENT StartMenuInternet: (.Not Key.) 

========== Dossier(s) ==========
SUPPRIME C:\ProgramData\Partner

========== Fichier(s) ==========
SUPPRIME File: C:\Users\ADM\Appdata\LocalLow\pdfforge
SUPPRIME c:\program files\mozilla firefox\searchplugins\pucuy.xml

========== Tache planifiée ==========
SUPPRIME Task: {29C7E714-D97C-4861-A519-F5C7F2DB2F31}


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Dossier(s)
2 : Fichier(s)
1 : Tache planifiée


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt


End of the scan


==


Super! je ne suis plus redirigé depuis que j'ai fais le FIX mais la recherche reste lente? c'est normal?

juju666 · Answer

fais ce grand ménage on verra après 

Procédure d'optimisation/d'entretien/de prévention  

&#9654 Télécharge ici : PureRa (par l''editeur de JavaRa) 

&#9654 Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7) 

=> Configuration en vidéo ( merci gen-hackman ) 

&#9654 clique sur "Clean" 

&#9654 L''outil va faire son scan puis son nettoyage 

&#9654 à la fin du rapport tu auras une ligne comme ca : 

Total space cleaned: 8140878 bytes 

&#9654 transmets juste cette ligne , le reste importe peu  

------ 

&#9654 télécharge et installe Ccleaner 

&#9654 &#9654 une fois ouvert tu cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs " 
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"  
&#9654 il te demande de sauvegarder ==> OUI  
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre  
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK  
&#9654 Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"  

&#9654 tu peux fermer Ccleaner  

------  

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système. 

------ 

Défragmente tes disques dur : 
Télécharge Deffragler, et défragmente tes disques.  

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :  

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme 
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm 

------  

&#9654 Mises à jour Windows :  

Il est très important de maintenir son système à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ... 


&#9654 Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5 


&#9654 Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat. 

----- 

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp   

&#9654 Désinstaller les anciennes versions de Java :   

&#9654 Télécharge JavaRa.zip   

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)   

&#9654 Double-clique sur le répertoire JavaRa obtenu.   

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)   

&#9654 Clique sur Remove Older Versions.   

&#9654 Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.   

&#9654 Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.   

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )   

&#9654 Tu peux fermer l''application    

&#9654 &#9654 Met à jour les logiciels Adobe :  

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/ 

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr 

----- 

&#9654 &#9654 pour supprimer les outils de désinfection : 

&#9654 Télécharge Delfix sur ton bureau :  

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message  
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.  

------  

Tu peux garder Malwarebytes pour un scan de temps à autres  

-----  

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

------  

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins 

----- 

&#9654 &#9654 Pense à marquer le fil comme résolu   

------  

Si tu as d''autres questions, je t''écoute avec plaisir :) 
On se quitte si le rapport DelFix est ok... 

@+

problèmes78 · Answer

Bonsoir,

Ca continue de me rediriger.. Ca partira jamais?

Est ce que je dois refaire un rapport?

Merci

juju666 · Answer

Hello, tu as déjà passé DelFix en suppression ?

==========================

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"  Clique ici pour l'aide en image

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée. 
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée. 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip  
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

problèmes78 · Answer

Reload tdsskiller ne fonctionne pas, aucune page ne s'ouvre une fois que je lance le nettoyage...

juju666 · Answer

Suis cette page : https://support.kaspersky.com/fr/14421

problèmes78 · Answer

Bonsoir,

Non ça ne s'ouvre toujours pas. Aucune page ne propose de scan...?

C'est normal?..

Merci Juju pour les efforts :)

juju666 · Answer

&#9654 Télécharger, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l''un de ces liens:

* http://www.geekstogo.com/forum/files/file/441-mbrcheck/
* https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
* http://www.kernelmode.info/MBRCheck.exe

&#9654 Fermer tout et cliquer sur MBRCheck.exe

&#9654 &#9654 S''il te demande de taper "Y or N", tapes Y puis valider en tapant sur la touche entrée de ton clavier,
&#9654 &#9654 S''il te demande de taper sur la touche "entrée" seulement, fais le
&#9654 &#9654 S''il te demande 1, 2  ou 3, Appuie sur 2 

&#9654 Un rapport s''ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt

problèmes78 · Answer

Toujours autant de problèmes de redirection.

problèmes78 · Answer

Quelqu'un peut m'aider...?

juju666 · Answer

Bonjour,

Supprime ton combofix, retélécharge et relance le 
poste le rapport

Virus ou cheval de troie? HELP MERCI

35 réponses

Votre réponse

Discussions similaires

Newsletters