Infection Rootkit et others. ZhpDiag repp

Résolu
sannyf Messages postés 50 Statut Membre -  
sannyf Messages postés 50 Statut Membre -
Bonjour,



Je suis infecté. et je sollicite votre aide pour remédier à mon problème.

Je viens d'acheter ce PC portable hp pavilion dv6 et la personne qui me précède n'a pas fait attention.

Voici un rapport zhpdiag:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijJdaVwsR.txt

Cordialement.

23 réponses

  • 1
  • 2
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour.

    En effet...

    Désinstalle Spybot

    ~~

    ▶ Télécharge Reload_TDSSKiller

    ▶ Lance le

    choisis : lancer le nettoyage

    l'outil va automatiquement télécharger la derniere version puis

    TDSSKiller va s'ouvrir , clique sur "Start Scan" Clique ici pour l'aide en image

    Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
    Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer

    sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.
    0
  2. sannyf Messages postés 50 Statut Membre
     
    Bonsoir,

    Merci de me prendre en charge.

    Je ne trouve pas sbybot, ni dans les Programmes files, ni dans le gestionnaire de désinstallation.
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Dans ce cas c'était un reste.

    Tu peux passer TDSSKiller.
    0
  4. sannyf Messages postés 50 Statut Membre
     
    re,

    Voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijdAarvB6.txt

    Dans l'attente de votre réponse .
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du nettoyage.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    ~~

    Télécharge AD-Remover sur ton Bureau : (TeamXScript)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Nettoyer »
    ▶ Confirme le lancement du scan
    ▶ Laisse travailler l'outil.
    ▶ Quand il a fini, un rapport s'ouvrira : ferme le.

    ♦ Pour me transmettre le rapport

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ~~


    désactive ton antivirus
    désactive Windows defender si présent
    désactive ton pare-feu


    Télécharge Pre_scan (de gen-hackman)

    Si le lien ne fonctionne pas, utilise celui-ci

    ♦ Enregistre le sur ton bureau
    s'il n'est pas sur ton bureau, coupe-le de ton dossier téléchargements et colle-le sur ton bureau

    ▶ Exécute Pre_scan.
    Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
    Si l'outil est bloqué, utilise cette version
    Si l'outil détecte un proxy et que tu n'en n'as pas installé clique sur "supprimer le proxy"

    ▶ Une fois qu'il aura fini, un rapport s'ouvrira.

    ♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ~~
    ▶ Télécharge MBAM et installe le selon l'emplacement par défaut
    https://www.malwarebytes.com/mwb-download/
    ▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware

    ▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

    ▶ Clique dans l'onglet du haut "Recherche"
    ▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ▶ Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ▶ Clique sur OK puis "Afficher les résultats"
    ▶ Choisis l'option "Supprimer la sélection"
    ▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ▶ Sinon le rapport s'ouvre automatiquement après la suppression

    Quelque soit le résultat, copie/colle le rapport dans le prochain message

    ~~

    Enfin, refais un ZHPDiag :o)

    A bientôt !
    .::. Contributeur Sécurité .::.
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      attention

      j'ai modifié la procédure juste après ad-remover ;)
      0
  7. sannyf Messages postés 50 Statut Membre
     
    RE ;)

    1) ADWcleaner : http://www.cijoint.fr/cjlink.php?file=cj201110/cijGM1GlOM.txt

    2)Ad-remover :http://www.cijoint.fr/cjlink.php?file=cj201110/cijx80qbbc.

    3)Pre-scan : http://www.cijoint.fr/cjlink.php?file=cj201110/cijR9kqv0e.txt

    4)MBAM: http://www.cijoint.fr/cjlink.php?file=cj201110/cijUSC5Kjm.txt

    5)ZHPdiag :http://www.cijoint.fr/cjlink.php?file=cj201110/ciji12cwsG.txt

    Peux-tu me dire comment supprimer définitivement Bing , dans mon moteur de recherche et de mon PC. Je ne sais pas à quoi il est associé.

    Dans l'attente de ta réponse.
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Comment ça, sur quel navigateur?
    Bing c'est le moteur de recherche de Microsoft

    ▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    M3 - MFPP: Plugins - [Fred] -- C:\Users\Fred\AppData\Roaming\Mozilla\Firefox\Profiles\886wkova.default\searchplugins\Mp3Tube.xml    => Infection BT (Adware.Mp3Tube)
    [HKCU\Software\AppDataLow\Software\Mp3Tube]    => Infection BT (Adware.MP3Tube)
    [HKLM\Software\AntiMalware]    => Infection Rogue (Rogue.ActiveSecurity)
    [HKLM\Software\Iminent]    => Infection PUP (Adware.IMBooster)
    O43 - CFD: 08/09/2011 - 18:14:18 - [797160] ----D- C:\Program Files\Iminent    => Infection PUP (Adware.IMBooster)
    O69 - SBI: SearchScopes [HKCU] {A816367E-1950-436E-831D-92F5F125ECDA} - (Yahoo-Mp3Tube) - http://mp3tubetoolbarsearch.com    => Infection BT (Adware.Mp3Tube)
    [HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]    => Infection BT (Adware.2Search)
    [HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]    => Infection PUP (PUP.Eorezo)
    [HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]    => Infection PUP (PUP.Eorezo)
    [HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]    => Infection PUP (PUP.Eorezo)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]    => Infection PUP (Adware.IMBooster)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]    => Infection PUP (Adware.IMBooster)
    [HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]    => Infection PUP (PUP.Eorezo)
    [HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]    => Infection PUP (PUP.Eorezo)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]    => Infection PUP  (Adware.IMBooster)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]    => Infection PUP  (Adware.IMBooster)
    [HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]    => Infection PUP (PUP.Eorezo)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]    => Infection BT (Trojan.Adclicker)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]    => Infection BT (Trojan.Adclicker)
    [HKLM\Software\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]    => Infection BT (Trojan.Adclicker)
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]    => Infection BT (Trojan.Adclicker)
    [HKLM\Software\Iminent]    => Infection PUP (Adware.IMBooster)
    C:\Program Files\Iminent    => Infection PUP (Adware.IMBooster)
    C:\Users\Fred\AppData\LocalLow\Mp3Tube Toolbar    => Infection BT (Adware.Mp3Tube)
    M3 - MFPP: Plugins - [Fred] -- C:\Program Files\Mozilla FireFox\searchplugins\privatesearch.xml    => 
    [MD5.2CFEA9C337B699ACA38487E8A7438F35] - (.AnchorFree Inc. - Pas de description.) -- C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe   [363336] [PID.]
    R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (...) (No version) -- (.not file.)    => Toolbar.Conduit
    O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} . (.AnchorFree Inc. - Pas de description.) -- C:\Program Files\Hotspot Shield\HssIE\HssIE.dll
    O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html    => SweetIM Toolbar
    O23 - Service: Hotspot Shield Routing Service (HssSrv) . (.AnchorFree Inc. - Pas de description.) - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
    [HKCU\Software\HotspotShield]    => AnchorFree
    [HKCU\Software\SweetIM]    => Toolbar.SweetIM
    O43 - CFD: 28/09/2011 - 23:09:04 - [7409526] ----D- C:\Program Files\Hotspot Shield    => Toolbar.Conduit
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026}]    => Infection BT (Adware.IMBooster)
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{58124A0B-DC32-4180-9BFF-E0E21AE34026}]    => Infection BT (Adware.IMBooster)
    [HKLM\SYSTEM\CurrentControlSet\Services\HssSrv]    => Toolbar.Agent
    [HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]    => Toolbar.Agent
    [HKCU\Software\HotspotShield]    => AnchorFree
    [HKLM\Software\HotspotShield]    => AnchorFree
    [HKCU\Software\SweetIM]    => Toolbar.SweetIM
    [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM]    => Toolbar.SweetIM
    C:\Program Files\Hotspot Shield    => Toolbar.Conduit
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hotspot Shield    => Toolbar.Conduit
    SR - | Auto 28/09/2011 363336 |  (HssSrv) . (.AnchorFree Inc..) - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
    
    EMPTYTEMP
    EMPTYFLASH
    


    ▶ Puis Lance ZHPFix depuis le raccourci du bureau .

    ▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).

    ▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.

    ▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

    ▶ Clique sur le bouton « GO » pour lancer le nettoyage

    ▶ Copie/Colle le rapport à l''écran dans ton prochain message

    Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
    0
  9. sannyf Messages postés 50 Statut Membre
     
    re ;

    1) http://www.cijoint.fr/cjlink.php?file=cj201110/cijYVh7IRL.txt

    Et voici,

    J'aimerai enlever complétement ce moteur de recherche BING justement .
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    oui mais quel navigateur ?
    0
  11. sannyf Messages postés 50 Statut Membre
     
    sous firefox
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    outils > options > page d'accueil

    tu mets google.fr
    0
  13. sannyf Messages postés 50 Statut Membre
     
    Bien sur j'ai déjà essayer,

    Également, avec "about:config", keyword et changer .URL mais ça ne fonctionne toujours pas .
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    vas dans ton panneau de configuration et supprime tout ce qui contient le mot "Bing"
    0
  15. sannyf Messages postés 50 Statut Membre
     
    re ;)

    Il n'y a rien qui comporte le mot Bing..
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu''administrateur)

    ▶ Lance OTL
    ▶ Sous Personnalisation, copie-colle ce qu''il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c 

    ▶ Clique sur le bouton Analyse.
    ▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ▶ Télécharge SEAF (de C_XX) sur ton Bureau.
    ▶ Lance SEAF
    ▶ Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
    ▶ Tape 38576728.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
    ▶ Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
    0
  18. sannyf Messages postés 50 Statut Membre
     
    re ,

    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 17:28:50 le 16/10/2011
    4.
    5. Valeur(s) recherchée(s):
    6. 38576728.sys
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) --- Calcul du Hash "MD5"
    11. (!) --- Informations supplémentaires
    12. (!) --- Recherche registre
    13.
    14. ====== Fichier(s) ======
    15.
    16. Aucun fichier trouvé
    17.
    18.
    19. ====== Entrée(s) du registre ======
    20.
    21.
    22. [HKLM\System\ControlSet001\Control\SafeBoot\Minimal\38576728.sys]
    23. DA: 12/10/2011 18:57:07
    24.
    25. [HKLM\System\ControlSet001\Control\SafeBoot\Network\38576728.sys]
    26. DA: 12/10/2011 18:57:07
    27.
    28. [HKLM\System\ControlSet010\Control\SafeBoot\Minimal\38576728.sys]
    29. DA: 12/10/2011 18:57:07
    30.
    31. [HKLM\System\ControlSet010\Control\SafeBoot\Network\38576728.sys]
    32. DA: 12/10/2011 18:57:07
    33.
    34. [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\38576728.sys]
    35. DA: 12/10/2011 18:57:07
    36.
    37. [HKLM\System\CurrentControlSet\Control\SafeBoot\Network\38576728.sys]
    38. DA: 12/10/2011 18:57:07
    39.
    40. =========================
    41.
    42. Fin à: 17:35:43 le 16/10/2011
    43. 499517 Éléments analysés
    44.
    45. =========================
    46. E.O.F
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    'ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur OTL.exe pour le lancer.

    ▶ Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    FF - prefs.js..browser.search.defaultengine: "Ask.com"
    FF - prefs.js..browser.search.defaultenginename: ""
    FF - prefs.js..browser.search.defaultthis.engineName: "Web Search"
    FF - prefs.js..browser.search.order.1: "Ask.com"
    FF - prefs.js..browser.search.selectedEngine: ""
    FF - prefs.js..browser.search.useDBForOrder: true
    FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.6.0.10
    FF - prefs.js..extensions.enabledItems: {C9B68337-E93A-44EA-94DC-CB300EC06444}:4.20.0
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found.
    FF - prefs.js..extensions.enabledItems: webbooster@iminent.com:4.21.0
    FF - prefs.js..keyword.URL: "http://mp3tubetoolbarsearch.com/?prt=pinballtb02ff&Keywords="
    IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found

    :Files
    @Alternate Data Stream - 177 bytes -> C:\Users\Fred\AppData\Local\Temp:SL_{42726572-7361-6369-352e-30312e303032}

    :commands
    [emptytemp]
    [start explorer]
    [reboot]



    ▶ Clique sur « Correction » et laisse l''outil travailler. L''ordinateur redémarre.

    ▶ Copie/colle la totalité du rapport dans ta prochaine réponse.
    0
  20. sannyf Messages postés 50 Statut Membre
     
    re ;)

    Voici :D

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    No active process named msnmsgr.exe was found!
    No active process named Teatimer.exe was found!
    ========== OTL ==========
    Prefs.js: "Ask.com" removed from browser.search.defaultengine
    Prefs.js: "" removed from browser.search.defaultenginename
    Prefs.js: "Web Search" removed from browser.search.defaultthis.engineName
    Prefs.js: "Ask.com" removed from browser.search.order.1
    Prefs.js: "" removed from browser.search.selectedEngine
    Prefs.js: true removed from browser.search.useDBForOrder
    Prefs.js: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.6.0.10 removed from extensions.enabledItems
    Prefs.js: {C9B68337-E93A-44EA-94DC-CB300EC06444}:4.20.0 removed from extensions.enabledItems
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}\ not found.
    Prefs.js: webbooster@iminent.com:4.21.0 removed from extensions.enabledItems
    Prefs.js: "http://mp3tubetoolbarsearch.com/?prt=pinballtb02ff&Keywords=" removed from keyword.URL
    Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{ba14329e-9550-4989-b3f2-9732e92d17cc} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ not found.
    ========== FILES ==========
    ADS C:\Users\Fred\AppData\Local\Temp:SL_{42726572-7361-6369-352e-30312e303032} deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 2843 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Fred
    ->Temp folder emptied: 189138 bytes
    ->Temporary Internet Files folder emptied: 2687378 bytes
    ->Java cache emptied: 4277760 bytes
    ->FireFox cache emptied: 57933060 bytes
    ->Apple Safari cache emptied: 0 bytes
    ->Flash cache emptied: 1965849 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 1405440 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 28669 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 65,00 mb

    OTL by OldTimer - Version 3.2.30.0 log created on 10172011_172719

    Files\Folders moved on Reboot...
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

    Registry entries deleted on Reboot...
    0
  • 1
  • 2