Ordi vérolé ? Besoin de votre aide SVP !!!

Question

Bonjour, 

Configuration: Windows Vista / Firefox 7.0.1

Depuis plusieur jours, mon PC est extremement lent, j'ai pas mal de fenetres intempestives, et quand je lance une page , l'adresse URL est remplacée par une autre, qui commence souvent par "www2...." Mon anti virus "viruskeeper pro" ne détecte rien de particulier... 
Pouvez vous m'aider svp ?
Merci d'avance de vos réponses ! 

Configuration: Windows Vista / Firefox 7.0.1

g3n-h@ckm@n · Answer

salut

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

============================================


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

g3n-h@ckm@n · Answer

ok passe à la suite

g3n-h@ckm@n · Answer

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

restezen · Answer

Le problème , c'est que depuis le bug je ne peux plus rien installer en fait. quand je clique sur ton lien, ca me télécharge le fichier exe, mais j'ai une fenetre qui me demande avec quel programme je dois l'executer ???

resteZZen · Answer

J'ai réussi à reprendre la main, mais (désolée d'etre lourde mais je ne suis pas une pro en informatique ... !) dès que je lance tdsskiller.exe , la fenetre noire s'affiche, charge, mais pas de rapport qui s'affiche ... Que dois-je faire STP, je ne sais plus quoi faire ... Merci

g3n-h@ckm@n · Answer

apres cette fenetre noire tu n'as pas tdsskiller qui s'ouvre ?

restezzen · Answer

non rien arrivé à 100%, la fenetre se referme ...

g3n-h@ckm@n · Answer

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

restezzen · Answer

j'ai réussi à lancer Pre_scan, j'obtiens bien le fichier en .txt sur mon bureau, mais une fois sur cijoint.fr , et apres avoir selectionné le fichier, j'obtiens ceci : 
"La connexion a été réinitialisée
La connexion avec le serveur a été réinitialisée pendant le chargement de la page."

Help !!!

g3n-h@ckm@n · Answer

ok clic droit sur le rapport , envoyer vers => dossier compressé puis essaie d'envoyer l'archive

resteZZen · Answer

Merci pour l'astuce ;-) 
Voici le lien de mon rapport 

 http://www.cijoint.fr/cjlink.php?file=cj201110/cijfdRO7cK.zip

Help !O!

g3n-h@ckm@n · Answer

desinstalle babylon toolbar => adware
desinstalle bittorrent_Bar_FR
desinstalle Daemon tools toolbar

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"ganek"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateReg"=-
""=      
"ISUSScheduler"=-
"TkBellExe"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-
"conhost"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BabylonToolbar]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-     
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\firefox.exe]
[-HKEY_CURRENT_USER\Software\FirstRRRun] 
[-HKEY_CURRENT_USER\Software\Nosibay]  
[-HKEY_CURRENT_USER\Software\SweetIM]
[-HKEY_LOCAL_MACHINE\Software\BrowserChoice] 

file::
C:\Users\aurelyseb\ganek.exe                
C:\Program Files\Internet Explorer\lvvm.exe  
C:\Users\aurelyseb\Downloads\firefox.exe
C:\Windows\1163597381      
C:\Users\aurelyseb\AppData\Roaming\3D18.F8A      
C:\Users\aurelyseb\AppData\Roaming\conhost.exe      
C:\Windows\Tasks\CreateChoiceProcessTask.job      

folder::
C:\Program Files\BabylonToolbar   
C:\Users\aurelyseb\AppData\Roaming\Mozilla\Firefox\Profiles\lijjwbzh.default\extensions\ffxtlbr@babylon.com.xpi      
C:\Users\aurelyseb\AppData\Roaming\Mozilla\Firefox\Profiles\lijjwbzh.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}  
C:	mp    
C:\Program Files\Babylon    
C:\Program Files\BittorrentBar_FR    
C:\Program Files\DAEMON Tools Toolbar    

ADS::    
C:\ProgramData\TEMP
C:\Windows\1163597381
  
attrib::                                    
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

resteZZen · Answer

Bonjour, 

je ne retrouve pas les toolbar que tu me demande de supprimer, et je n'arrive pas a supprimer daemon tools non plus. 
JE suis en train de désespérer, le pc va finir par la fenetre !!!!!!!!!!! LOL !

Voici le rapport : 




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.92 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Mise à jour : 08/10/2011 | 14.00 Par g3n-h@ckm@n
Utilisateur : aurelyseb (Administrateurs)
Ordinateur : PC-DE-AURELYSEB
Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
Internet Explorer : 9.0.8112.16421
Mozilla Firefox : 7.0.1 (fr)

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill::

Script : 10:33:59

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Absent : C:\Users\aurelyseb\ganek.exe
Non Supprimé : C:\Program Files\Internet Explorer\lvvm.exe
Supprimé : C:\Users\aurelyseb\Downloads\firefox.exe
Supprimé : C:\Windows\1163597381
Supprimé : C:\Users\aurelyseb\AppData\Roaming\3D18.F8A
Non Supprimé : C:\Users\aurelyseb\AppData\Roaming\conhost.exe
Supprimé : C:\Windows\Tasks\CreateChoiceProcessTask.job

¤

Absent : C:\Program Files\BabylonToolbar
non Supprimé : C:\Users\aurelyseb\AppData\Roaming\Mozilla\Firefox\Profiles\lijjwbzh.default\extensions\ffxtlbr@babylon.com.xpi
Supprimé : C:\Users\aurelyseb\AppData\Roaming\Mozilla\Firefox\Profiles\lijjwbzh.default\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}
Supprimé : C:	mp
Supprimé : C:\Program Files\Babylon
Supprimé : C:\Program Files\BittorrentBar_FR
Supprimé : C:\Program Files\DAEMON Tools Toolbar

¤

Alternate Data Streams :

C:\ProgramData\TEMP : Deleted :55E1514E:$DATA  
C:\ProgramData\TEMP : Deleted :981349EA:$DATA  

¤

Disques externes : 25 Objets réattribués
Disque Local : 16 Objets réattribués
Utilisateurs : 1 Objets réattribués
ProgramFiles : 18 Objets réattribués
Music : 11 Objets réattribués
Pictures : 0 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 67 Objets réattribués
Desktop : 12 Objets réattribués
Links : 0 Objets réattribués
Searches : 3 Objets réattribués
Contacts : 5 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 11 Objets réattribués
Documents : 6 Objets réattribués
Windows : 153 Objets réattribués
StartMenu : 2 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 25 Objets réattribués

¤


explorer.exe -> Processus redémarré

Fin : 10:48:38

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

tu n'as pas reactivé tes securités avant d'utiliser Pre_Script ?

resteZZen · Answer

j'ai précedemment expliqué que je n'arrive plus à installer d'antivirus, et windows défender plante quand je l'ouvre ... 
J'en peux plus , mes pages web plantent, firefox ne fonctionne plus, j'arrive juste à te répondre, c'est déjà énorme !!! 
Mdr !
J'attends la suite ... merci ;-)

g3n-h@ckm@n · Answer

ok je vois cela

Pre_Scan n'eest pas assez puissant pour cette infection (vu qu'il n'est pas fait pour la traiter celle-ci specialement...

on va lui casser les dents à ce truc-là :

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Restezzen · Answer

Ca y est Rootkitzeroaccess ... Je sais pas si je dois etre contente, mais déjà on connait le nom de cette salle bestiole qui pourri mon pc !!!
Mon pc a redémarré et combofix travaille gentiment... Étape 5...j'attends la fin et croise les doigts ... Je te poste le rapport des que mon pc est a nouveau disponible... (je touche a rien, je suis sur mon tel la !)
Roooo merci de ton aide , je vois une lueur d'espoir ! En même temps, tu pourras me conseiller un bon antivirus gratuit stp ? 
Merci !

g3n-h@ckm@n · Answer

on est loin d'avoir fini ^^

Restezzen · Answer

ah oui effectivement , je n'avais pas la notion du temps que tu exprimais par ton "on est loin d'avoir fini" ;p, je comprends mieux ...
Par contre qu'est ce c'est ce dossier "spkpod" ? Il contient tous les logiciels et les jeux de la planète ? Ça fait plus de 7 heures que ça défile !!!!

Restezzen · Answer

Salut, Ça y est, enfin ! combofix a terminé, le rapport est prêt a etre envoyé mais je n'ai tjrs pas d'antivirus, est ce que je peux en installer un maintenant ? Et si oui lequel ? Merci

resteZZen · Answer

Bonjour, 
bon, ben je poste mon rapport qd meme, sans antivirus, voici le lien, car il est trèèèèèès long !!! : 

https://www.cjoint.com/?3JliEsoFsJl

J'attends la suite, merci

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: File:: c:\program files\Internet Explorer\lvvm.exe c:\windows\Tasks\LocalCooling 2.job Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateReg"=- "ISUSScheduler"=- "TkBellExe"=- "Adobe Reader Speed Launcher"=- "QuickTime Task"=- "iTunesHelper"=- [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000000 DDS:: uInternet Settings,ProxyServer = http=127.0.0.1:57151 RegLock:: [HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions] [HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration] [HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences] [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice] [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice] [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice] [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice] [HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

resteZZen · Answer

Re

Après 2 essais manqués j'ai qd meme réussi : 

ComboFix 11-10-11.01 - aurelyseb 11/10/2011  14:28:41.3.2 - x86
Lancé depuis: c:\users\aurelyseb\Desktop\aurely.exe
Commutateurs utilisés :: c:\users\aurelyseb\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
FILE ::
"c:\program files\Internet Explorer\lvvm.exe"
"c:\windows\Tasks\LocalCooling 2.job"
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Internet Explorer\lvvm.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-09-11 au 2011-10-11  ))))))))))))))))))))))))))))))))))))
.
.
2011-10-11 13:09 . 2011-10-11 13:16	--------	d-----w-	c:\users\aurelyseb\AppData\Local	emp
2011-10-11 13:09 . 2011-10-11 13:09	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-10-10 11:04 . 2011-10-10 21:08	--------	d-----w-	C:\aurely
2011-10-09 15:54 . 2011-10-10 08:48	--------	d-----w-	C:\Kill'em
2011-10-08 08:40 . 2011-10-08 08:40	--------	d-----w-	C:\VritualRoot
2011-10-08 08:29 . 2011-10-08 08:29	272	----a-w-	c:\windows\system32\drivers\sfi.dat
2011-10-08 08:08 . 2011-10-08 08:38	--------	d-----w-	c:\programdata\Comodo
2011-10-08 08:08 . 2011-10-08 08:12	--------	d-----w-	c:\program files\COMODO
2011-10-08 08:07 . 2011-10-08 08:08	--------	d-----w-	c:\programdata\Comodo Downloader
2011-10-07 12:52 . 2011-10-11 07:42	--------	d-----w-	c:\programdata\AVAST Software
2011-10-07 12:52 . 2011-10-07 12:52	--------	d-----w-	c:\program files\AVAST Software
2011-10-07 10:54 . 2011-10-07 10:55	--------	d-----w-	c:\program files\Ad-Remover
2011-10-06 10:55 . 2011-10-06 11:01	1676	----a-w-	c:\windows\system32\ASOROSet.bin
2011-10-06 10:36 . 2011-10-06 10:36	--------	d-----w-	c:\windows\fr
2011-10-06 09:14 . 2011-10-07 06:14	--------	d-----w-	c:\programdata\Alwil Software
2011-10-06 07:06 . 2011-10-06 07:06	--------	d-----w-	c:\users\aurelyseb\AppData\Local\AresXZ
2011-10-06 07:01 . 2011-10-10 10:54	--------	d-----w-	c:\users\aurelyseb\AppData\Roaming\LimeRunner
2011-10-05 08:30 . 2011-10-06 11:14	--------	d-----w-	c:\users\aurelyseb\AppData\Roaming\Systweak
2011-10-05 08:30 . 2011-07-07 11:26	17280	----a-w-	c:\windows\system32oboot.exe
2011-09-15 13:26 . 2011-08-10 12:14	2409784	----a-w-	c:\program files\Windows Mail\OESpamFilter.dat
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-11 13:12 . 2011-10-11 07:44	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{9F16D6D7-7944-4C95-A6DE-C1A5614EDE81}\offreg.dll
2011-10-06 10:30 . 2010-06-24 10:33	18328	----a-w-	c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll
2011-09-27 09:52 . 2011-05-26 09:14	404640	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2011-09-12 23:14 . 2011-10-07 09:04	7269712	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{9F16D6D7-7944-4C95-A6DE-C1A5614EDE81}\mpengine.dll
2011-07-22 02:54 . 2011-08-12 01:08	1797632	----a-w-	c:\windows\system32\jscript9.dll
2011-07-22 02:48 . 2011-08-12 01:08	1126912	----a-w-	c:\windows\system32\wininet.dll
2011-07-22 02:44 . 2011-08-12 01:08	2382848	----a-w-	c:\windows\system32\mshtml.tlb
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2011-05-13 4283256]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2009-06-17 2363392]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-06-01 68856]
"Orange Desktop Search"="c:\program files\Orange\DesktopSearch\DesktopSearchService.exe" [2010-06-16 1404416]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2007-02-15 118784]
"NvSvc"="c:\windows\system32
vsvc.dll" [2008-01-10 92704]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-10 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-10 88608]
"Windows Mobile-based device management"="c:\windows\WindowsMobile\wmdSync.exe" [2006-11-02 215552]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2008-06-02 178712]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016]
"ORAHSSSessionManager"="c:\program files\Orange\Connexion Internet Orange\SessionManager\SessionManager.exe" [2009-08-03 135920]
"RtHDVCpl"="RtHDVCpl.exe" [2008-01-15 4874240]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2011-04-20 58656]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"CardDetectorHUAWEI1752_1552"="c:\program files\CardDetector\HUAWEI1752_1552\CardDetector.exe" [2009-08-25 282624]
"BEWINTERNET-FR-DMGP-V2SessionManager"="c:\program files\Orange\IEWInternet\SessionManager\SessionManager.exe" [2009-08-25 140016]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"EnableLUA"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AppleSyncNotifier]
2011-04-20 10:48	58656	----a-w-	c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPADVISOR]
2009-08-05 09:27	1644088	----a-w-	c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2011-06-07 15:51	421160	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MailNotifier]
2010-11-04 09:10	634368	----a-w-	c:\program files\Orange\MailNotifier\MailNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1686499365-2425946887-2571331166-1000]
"EnableNotificationsRef"=dword:00000002
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-16 135664]
R2 Orange update Core Service;Orange update Core Service;c:\program files\Orange\OrangeUpdate\Service\OUCore.exe [2011-05-20 1055872]
R2 vkservice;VirusKeeper antivirus/antispyware;c:\program files\AxBx\VirusKeeper 2012 Pro Evaluation\vk_service.exe [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-16 135664]
R3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\DRIVERS\ewusbfake.sys [2009-06-15 103040]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-06-06 721904]
S2 ezntsvc;EasyBits Magic Desktop Services for Windows NT;c:\windows\system32\ezNTSvc.exe [2008-06-14 33792]
S2 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [2010-03-25 490280]
S3 XN720V32;SAGEM Wi-Fi 11n USB Adapter(vista);c:\windows\system32\DRIVERS\WLANUHN.sys [2008-11-13 449536]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WindowsMobile	REG_MULTI_SZ   	wcescomm rapimgr
LocalServiceRestricted	REG_MULTI_SZ   	WcesComm RapiMgr
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-06-17 10:11	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-10-11 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-06-01 07:49]
.
2011-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-16 22:30]
.
2011-10-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-16 22:30]
.
2011-10-11 c:\windows\Tasks\LocalCooling 2.job
- c:\program files\Uniblue\LocalCooling\localcooling2.exe [2008-02-29 08:35]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - c:\users\aurelyseb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\Run IMVU.lnk
Trusted Zone: orange.fr\www
TCP: DhcpNameServer = 192.168.1.1 192.168.1.1
TCP: Interfaces\{93D60B37-7E74-4CD7-8E4F-8F09F27C04C2}: NameServer = 192.168.1.1
DPF: {5A779DC0-837B-4590-AC42-C7C0847478C5} - hxxp://logicielsgratuits.orange.fr/download_service/Install/OrangeInstaller.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-11 15:14
Windows 6.0.6002 Service Pack 2 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'Explorer.exe'(2696)
c:\program files\Orange\DesktopSearch\DeskbandIntegration303000027.dll
c:\program files\Orange\DesktopSearch\SearchPlatform-s.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\progra~1\COMMON~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
c:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\windows\system32\conime.exe
c:\windows\system32\PSIService.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\System32undll32.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32undll32.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Live\Contacts\wlcomm.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\program files\Internet Explorer\iexplore.exe
c:\windows\system32\wbem\unsecapp.exe
.
**************************************************************************
.
Heure de fin: 2011-10-11  15:37:07 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-10-11 13:36
ComboFix2.txt  2011-10-10 21:07
.
Avant-CF: 213 608 820 736 octets libres
Après-CF: 213 572 239 360 octets libres
.
- - End Of File - - FC49B7853507F440227DE02CC4C781CD

A tout à l'heure !

g3n-h@ckm@n · Answer

ok impec quelle evolution a-t-on ?

resteZZen · Answer

Ben écoutes, ca a l'air pas mal, pas de fenetre intempêstive, pas de redirection pour le moment ... il ne me reste plus qu'a installer an antivirus, qu'en penses tu ???

resteZZen · Answer

Que dois-je faire de tous ces rapports, je peux tout supprimer ?

resteZZen · Answer

Re,
J'ai réussi à installer avast, c'est deja une bonne chose, mais par contre, il y a eu plusieurs "arrets non planifiés", 
je n'arrive plus à lire de vidéos""le lecteur windows média ne peut pas acceder au fichier ..." , 
quand je clique sur mon icone (clic droit) Modzilla, ca plante, et j'ai "Windows explorer ne répond pas", 
Merci beaucoup pour ton aide, j'attends la suite ^^ ...

g3n-h@ckm@n · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

restezzen · Answer

Bonjour ! 
Me revoici apres 36h de scan avec Drweb ! et 3668 virus détectés !
Voici le lien de mon rapport...

 http://cjoint.com/?3JpjYhVDhzC 

Par contre, je rencontre toujours le problème de pages redirigées vers bing, ebay ou BOOKMARKY ... 
Je n'arrive tjrs pas a lire les vidéos, pas de son, et malgré que j'arrive à me connecter à internet, mon serveur ne répond plus, j'ai une croix rouge dessus, et je ne peux pas y acceder pour parametrer les réseaux ...
J'ai encore besoin de toi STP ...
Merci d'avance pour m'aider à la suite !!!

g3n-h@ckm@n · Answer

franchement avec tous les cracks que tu as c'est pas etonnant 

d'un autre coté ca sert de lecon

tu peux refaire ton systeme complet apres un formatage bas niveau c'est la seule solution que je peux te proposer ton systeme est mort et restera instable

en deux mots : c'est foutu

restezzen · Answer

Salut , 
Bon, ben ca y est , je suis désespérée... !!!
Peux tu me dire ce qu'est un "crack" ; et comment ils ont envahi mon PC ?
Comme ca , ben je ne referai plus les memes erreurs sur mon prochain ordi, car si tu dit "c'est mort" c'est que c'est vraiment mauvais signe ... 
Merci de me renseigner une derniere fois, 
et encore un ENORME merci pour toutes tes tentatives de réparation de mon PC ...

g3n-h@ckm@n · Answer

tout vient d'ici : 

C\Users\aurelyseb\spkpod\Incoming 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Ordi vérolé ? Besoin de votre aide SVP !!!

32 réponses

Votre réponse

Newsletters