avis aux pros Résolu/Fermé

Question

Bonjour, je voudrais qu'un ccmiste confirmer jette un oeil sur mon rapport hijack .
ma soeur m'a passer son pc suite a une infection .
j'ai fait un scanne avec trend micro house call puis MBAM puis avast puis spybot et enfin multivirus cleaner mais , je pense que le pc est encore infecter.
le probleme a l'origine etait ouverture de page internet non desirer, redirection automatique DES navigateurs via lo.st .
sans compter que le pc rame sacrément ...
config : acer sous xp pack 3 cpu celeron 992 mo de rame 
 

http://www.cijoint.fr/cjlink.php?file=cj201108/cijHYSCgFB.txt 

merci a tous

juju666 · Accepted Answer

Bonsoir,

Suite à ton MP (tu as bien fait)

&#9654 Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
&#9654 Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

mack.bolan · Answer

deja fait voila le rapport et pardon pour " l'incruste sur le mp"

juju666 · Answer

bizarre, y'a du Vundo et du EoReZo qu'aurait du sauter.

Tes pubs viennent de PCTuto/eoReZo.

Tu as installé des programmes PCTuto/EoReZo, sais-tu que le service transmet certaines informations ? comme par exemple ton adresse, numéro de télephone qui ont été saisis lors de l'inscription ?
PCTuto/EoReZo modifie aussi ta page de démarrage vers lo.st ou y.lo.st, il se peux aussi que ce site transmettent certaines informations et affiche des popups de publicité.

Pour plus d'informations se reporter à cette page : https://forum.malekal.com/viewtopic.php?t=33439&start=
Ainsi que : https://forum.malekal.com/viewtopic.php?t=18245&start=

Vas dans le panneau de configurations puis programmes et fonctionnalités, désinstalle tout ce qui porte le nom :

PCTuto/EoReZo.
Agence Exclusive ou Agence
Update ou Software Update ou Application Updater.

Voir aussi : http://www.forum-fec.net/t1506-tuto4pc-tutopc-pctuto-adware#10065

Ensuite :

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

mack.bolan · Answer

je n'ai rien  qui porte de prés ou de loin a eoreZo dans ajout ou suppression et je scanne deja avec adwcleaner , je post le rapport dés que ..
merçi !

mack.bolan · Answer

et un rapport pour monsieur , un :

# AdwCleaner v1.2 - Rapport créé le 19/08/2011 à 23:55:20
# Mis à jour le 17/08/11 à 17h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : patou - ACER-A7D3E14A69 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\patou\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Présente : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO
Clé Présente : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO.1
Clé Présente : HKLM\SOFTWARE\Classes\AppID\EoEngineBHO.DLL
Clé Présente : HKLM\SOFTWARE\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
Clé Présente : HKLM\SOFTWARE\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
Clé Présente : HKLM\SOFTWARE\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[HKLM\..\AboutURls - Tabs] = http://y.lo.st

-\ Mozilla Firefox v3.6.20 (fr)

Profil : f9y0rfhp.default
Fichier : C:\Documents and Settings\patou\Application Data\Mozilla\Firefox\Profiles\f9y0rfhp.default\prefs.js

/!\ Impossible d'ouvrir le fichier /!\

*************************

AdwCleaner[R1].txt - [1507 octets] - [19/08/2011 23:55:20]

########## EOF - C:\AdwCleaner[R1].txt - [1635 octets] ##########

mack.bolan · Answer

rapport apres suppréssion :

 AdwCleaner v1.2 - Rapport créé le 19/08/2011 à 23:58:04
# Mis à jour le 17/08/11 à 17h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : patou - ACER-A7D3E14A69 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\patou\Mes documents\Téléchargements\adwcleaner.exe
# Option [Recherche]


***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v3.6.20 (fr)

Profil : f9y0rfhp.default
Fichier : C:\Documents and Settings\patou\Application Data\Mozilla\Firefox\Profiles\f9y0rfhp.default\prefs.js

/!\ Impossible d'ouvrir le fichier /!\

*************************

AdwCleaner[R1].txt - [1636 octets] - [19/08/2011 23:55:20]
AdwCleaner[S1].txt - [1495 octets] - [19/08/2011 23:57:17]
AdwCleaner[R2].txt - [982 octets] - [19/08/2011 23:58:04]

########## EOF - C:\AdwCleaner[R2].txt - [1109 octets] ##########

juju666 · Answer

Poste celui là stp : 

AdwCleaner[S1].txt

mack.bolan · Answer

AdwCleaner v1.2 - Rapport créé le 19/08/2011 à 23:57:17
# Mis à jour le 17/08/11 à 17h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : patou - ACER-A7D3E14A69 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\patou\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Processus] *****


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\EoEngineBHO.EOBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\EoEngineBHO.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{AFBB7970-789A-4264-BA70-E8127DECE400}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{DF76E9B7-35EC-46FC-AF56-5B79DED9D64F}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{18AF7201-4F14-4BCF-93FE-45617CF259FF}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C10DC1F4-CCDF-4224-A24D-B23AFC3573C8}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

Remplacé : [HKLM\..\AboutURls - Tabs] = http://y.lo.st --> res://ieframe.dll/tabswelcome.htm

-\ Mozilla Firefox v3.6.20 (fr)

Profil : f9y0rfhp.default
Fichier : C:\Documents and Settings\patou\Application Data\Mozilla\Firefox\Profiles\f9y0rfhp.default\prefs.js

juju666 · Answer

Nickel.

Tu vois que t'avais EoReZo ....

Reste Vundo, malheureusement et je ne sais pas pourquoi il n'est pas delete par MBAM, donc on sort le grand jeu :

 /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\  

Si tu utilises AVG, IL FAUT IMPÉRATIVEMENT LE DÉSINSTALLER avant d''utiliser Combofix car il peut causer des dégâts en interaction avec l''outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n''est pas suffisante. 
Télécharge le désinstalleur d''AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
_______________________________________________________________

Les logiciels d''émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau
&#9654 Lance le
&#9654 Une fenêtre apparait : clique sur "Disable"
&#9654 Fais redémarrer l''ordinateur si l''outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 
_______________________________________________________________

&#9654 /!\ IMPORTANT /!\  
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/ 
_______________________________________________________________

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
&#9654 &#9654 Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC  

&#9654 En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  
&#9654 Une fois le scan achevé, un rapport va s''afficher : Poste son contenu  
&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\  

Notes: 
-> Le rapport se trouve également là : C:\ComboFix.txt   
-> tutoriel combofix

mack.bolan · Answer

j'utilise avast version free !!

mack.bolan · Answer

je me deconnecte pour le scanne combofix , je poste le rapport dés que ..

mack.bolan · Answer

--
ComboFix 11-08-19.02 - patou 20/08/2011   0:48.2.1 - FAT32x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.991.515 [GMT 2:00]
Lancé depuis: c:\documents and settings\patou\Mes documents\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Default User\WINDOWS
c:\documents and settings\patou\WINDOWS
c:\windows\system32\config\systemprofile\WINDOWS
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-07-19 au 2011-08-19  ))))))))))))))))))))))))))))))))))))
.
.
2011-08-19 20:15 . 2011-08-19 20:15	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-08-19 20:12 . 2011-08-19 20:13	--------	d-----w-	C:\ZHP
2011-08-19 20:12 . 2011-08-19 20:12	--------	d-----w-	c:\program files\ZHPDiag
2011-08-19 15:23 . 2011-08-19 15:23	--------	d-----w-	c:\documents and settings\patou\Application Data\Malwarebytes
2011-08-19 15:22 . 2011-07-06 17:52	41272	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-08-19 15:22 . 2011-08-19 15:22	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-08-19 15:22 . 2011-07-06 17:52	22712	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-08-19 15:22 . 2011-08-19 15:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-08-19 09:27 . 2011-08-19 09:27	--------	d-----w-	C:\FOUND.002
2011-08-18 23:36 . 2011-08-18 23:36	--------	d-sh--w-	c:\windows\system32\config\systemprofile\IETldCache
2011-08-18 21:04 . 2011-08-18 21:04	--------	d-----w-	c:\documents and settings\patou\Application Data\QuickScan
2011-08-18 18:58 . 2011-08-18 18:58	--------	d-----w-	c:\program files\AxBx
2011-08-18 18:02 . 2011-05-04 02:52	476904	----a-w-	c:\program files\Mozilla Firefox\plugins
pdeployJava1.dll
2011-08-11 09:42 . 2011-06-24 14:10	139656	------w-	c:\windows\system32\dllcachedpwd.sys
2011-08-11 09:40 . 2011-07-08 14:02	10496	------w-	c:\windows\system32\dllcache
distapi.sys
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-15 13:29 . 2005-05-02 23:46	456320	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
2011-07-08 14:02 . 2005-05-02 23:46	10496	----a-w-	c:\windows\system32\drivers
distapi.sys
2011-07-04 11:43 . 2010-06-29 10:49	40112	----a-w-	c:\windows\avastSS.scr
2011-07-04 11:43 . 2010-06-12 12:15	199304	----a-w-	c:\windows\system32\aswBoot.exe
2011-07-04 11:36 . 2011-03-31 16:18	441176	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2011-07-04 11:36 . 2010-06-12 12:15	309848	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-07-04 11:35 . 2010-06-12 12:15	43608	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-07-04 11:35 . 2010-06-12 12:15	102616	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-07-04 11:35 . 2010-06-12 12:15	96344	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-07-04 11:32 . 2010-06-12 12:15	25432	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-07-04 11:32 . 2010-06-12 12:15	30808	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-07-04 11:32 . 2010-06-12 12:15	19544	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2011-06-24 14:10 . 2005-05-02 23:58	139656	----a-w-	c:\windows\system32\driversdpwd.sys
2011-06-23 18:31 . 2005-05-02 23:46	916480	----a-w-	c:\windows\system32\wininet.dll
2011-06-23 18:31 . 2005-05-02 23:46	43520	----a-w-	c:\windows\system32\licmgr10.dll
2011-06-23 18:31 . 2005-05-02 23:46	1469440	------w-	c:\windows\system32\inetcpl.cpl
2011-06-23 12:05 . 2005-05-02 23:46	385024	----a-w-	c:\windows\system32\html.iec
2011-06-20 17:44 . 2005-05-02 23:46	293888	----a-w-	c:\windows\system32\winsrv.dll
2011-06-06 11:35 . 2005-05-02 23:46	1859072	----a-w-	c:\windows\system32\win32k.sys
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-07-04 11:43	122512	----a-w-	c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="c:\program files\IncrediMail\bin\IncMail.exe" [2009-02-25 251264]
"E06FXLRD_5397421"="c:\program files\Microsoft Encarta\Collection Microsoft Encarta 2006 DVD\EDICT.EXE" [2005-06-04 301776]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-02 68856]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2005-03-17 106496]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"eRecoveryService"="c:\windows\System32\Check.exe" [2005-03-23 245760]
"SiSPower"="SiSPower.dll" [2005-03-03 49152]
"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"cspep.exe"="c:\program files\cspep\cspep.exe" [2010-12-09 684032]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-07-06 449584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\patou\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Logiciel Kodak EasyShare.lnk - c:\program files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2008-5-10 282624]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\IncrediMail\bin\ImApp.exe"=
"c:\Program Files\IncrediMail\bin\IncMail.exe"=
"c:\Program Files\IncrediMail\bin\ImpCnt.exe"=
"c:\WINDOWS\System32\dpvsetup.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\WINDOWS\system32\sessmgr.exe"=
"c:\WINDOWS\System32\lexpps.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"c:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1159:UDP"= 1159:UDP:Windows Media Format SDK (firefox.exe)
"1158:UDP"= 1158:UDP:Windows Media Format SDK (firefox.exe)
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [31/03/2011 18:18 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [12/06/2010 14:15 309848]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12/06/2010 14:15 19544]
R2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [15/06/2011 17:33 249648]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [19/08/2011 17:22 366640]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [19/08/2011 17:22 22712]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [14/10/2010 19:02 136176]
S3 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [07/07/2011 19:31 195336]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [14/10/2010 19:02 136176]
.
Contenu du dossier 'Tâches planifiées'
.
2011-08-19 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-31 08:51]
.
2011-08-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-14 17:02]
.
2011-08-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-14 17:02]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_70C5B381380DB17F.dll/cmsidewiki.html
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {041816FE-7869-4B5F-9BE4-FFF3B7368727} - hxxp://barremagique.aliceadsl.fr/download/BarreMagique.cab
FF - ProfilePath - c:\documents and settings\patou\Application Data\Mozilla\Firefox\Profiles\cwgzx46g.default\
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: network.proxy.type - 0
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\Alwil Software\Avast5\WebRep\FF
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
BHO-{96D372AF-79DB-4C09-AF07-C8F946672FEC} - (no file)
BHO-{E0B0E0B1-6FD5-4C21-A27D-DECC0B4DCAD8} - (no file)
BHO-{EED16E9F-D7F7-44ED-9429-096AFB2D5318} - (no file)
Toolbar-Locked - (no file)
HKLM-Run-TrustInstaller - E:\Setup.exe
Notify-pmnonmn - pmnonmn.dll
Notify-vtsqp - c:\windows\system32\vtsqp.dll
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-20 00:58
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-861256032-4077614754-96683635-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(476)
c:\program files\IncrediMail\bin\B4ImApp.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
Heure de fin: 2011-08-20  01:03:21
ComboFix-quarantined-files.txt  2011-08-19 23:03
.
Avant-CF: 11 224 055 808 octets libres
Après-CF: 11 422 072 832 octets libres
.
- - End Of File - - D61B890930066971D6029908D19331FC

aide celui qui ne sait pas car demain tu pourrais etre celui là !!!!!

juju666 · Answer

Refais un zhpdiag pour contrôle stp.
vundo a été supprimé ;)

mack.bolan · Answer

http://www.cijoint.fr/cjlink.php?file=cj201108/cijMzRzf65.txt 

dernier rapport hijack

juju666 · Answer

je viens de voir

Windows Genuine Adventage : KO   

ton windows n'est pas légal (original)

mack.bolan · Answer

sur ce point je ne me prononcerai pas n'ètant pas sur MON pc mais je n'ai aucune alerte ou autre m'indicant que mon windows est une copie et connaissant la propriètaire sa m'étonnerai beaucoup !!

juju666 · Answer

suis cette procédure stp : http://support.microsoft.com/kb/307890/fr

si ça échoue, je ne peux pas continuer à t'aider car dans ce cas, je suis aussi fautif vis à vis de microsoft.
de plus, le système serait vulnérable car tu ne reçois pas les mises à jour de sécurité, donc ça ne sert à rien de désinfecter un ordi bourré de failles.

mack.bolan · Answer

je n'ai pas "activer windows dans outils systeme ", je telecharge sans aucun difficultè les mises a jour et ma license semble enregistrer !

juju666 · Answer

Installe donc WGA (Windows Genuine Advantage)

mack.bolan · Answer

merci a juju666 pour son aide !!

juju666 · Answer

Salut ! :)

Pour info, je peux voir le fameux rapport MBAM aux 312 infections ?  :) 
Tu le dénicheras dans l'onglet "Rapports/Logs" de Malwarebytes (clic sur le lien pour voir la photo)

Avis aux pros

21 réponses

Discussions similaires