Infection Rootkit et others. ZhpDiag repp
Résolu
sannyf
Messages postés
48
Date d'inscription
Statut
Membre
Dernière intervention
-
sannyf Messages postés 48 Date d'inscription Statut Membre Dernière intervention -
sannyf Messages postés 48 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je suis infecté. et je sollicite votre aide pour remédier à mon problème.
Je viens d'acheter ce PC portable hp pavilion dv6 et la personne qui me précède n'a pas fait attention.
Voici un rapport zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201110/cijJdaVwsR.txt
Cordialement.
Je suis infecté. et je sollicite votre aide pour remédier à mon problème.
Je viens d'acheter ce PC portable hp pavilion dv6 et la personne qui me précède n'a pas fait attention.
Voici un rapport zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201110/cijJdaVwsR.txt
Cordialement.
A voir également:
- Infection Rootkit et others. ZhpDiag repp
- Zhpdiag - Télécharger - Informations & Diagnostic
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
23 réponses
Bonjour.
En effet...
Désinstalle Spybot
~~
▶ Télécharge Reload_TDSSKiller
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan" Clique ici pour l'aide en image
Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer
sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
En effet...
Désinstalle Spybot
~~
▶ Télécharge Reload_TDSSKiller
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan" Clique ici pour l'aide en image
Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer
sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
Bonsoir,
Merci de me prendre en charge.
Je ne trouve pas sbybot, ni dans les Programmes files, ni dans le gestionnaire de désinstallation.
Merci de me prendre en charge.
Je ne trouve pas sbybot, ni dans les Programmes files, ni dans le gestionnaire de désinstallation.
re,
Voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijdAarvB6.txt
Dans l'attente de votre réponse .
Voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijdAarvB6.txt
Dans l'attente de votre réponse .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du nettoyage.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
~~
▶ Télécharge AD-Remover sur ton Bureau : (TeamXScript)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\
▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Nettoyer »
▶ Confirme le lancement du scan
▶ Laisse travailler l'outil.
▶ Quand il a fini, un rapport s'ouvrira : ferme le.
♦ Pour me transmettre le rapport
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
~~
désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu
Télécharge Pre_scan (de gen-hackman)
Si le lien ne fonctionne pas, utilise celui-ci
♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau, coupe-le de ton dossier téléchargements et colle-le sur ton bureau
▶ Exécute Pre_scan.
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
Si l'outil est bloqué, utilise cette version
Si l'outil détecte un proxy et que tu n'en n'as pas installé clique sur "supprimer le proxy"
▶ Une fois qu'il aura fini, un rapport s'ouvrira.
♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
~~
▶ Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware
▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le
▶ Clique dans l'onglet du haut "Recherche"
▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
▶ Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression
Quelque soit le résultat, copie/colle le rapport dans le prochain message
~~
Enfin, refais un ZHPDiag :o)
A bientôt !
.::. Contributeur Sécurité .::.
Lance le, clique sur [Suppression] puis patiente le temps du nettoyage.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
~~
▶ Télécharge AD-Remover sur ton Bureau : (TeamXScript)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\
▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Nettoyer »
▶ Confirme le lancement du scan
▶ Laisse travailler l'outil.
▶ Quand il a fini, un rapport s'ouvrira : ferme le.
♦ Pour me transmettre le rapport
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
~~
désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu
Télécharge Pre_scan (de gen-hackman)
Si le lien ne fonctionne pas, utilise celui-ci
♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau, coupe-le de ton dossier téléchargements et colle-le sur ton bureau
▶ Exécute Pre_scan.
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
Si l'outil est bloqué, utilise cette version
Si l'outil détecte un proxy et que tu n'en n'as pas installé clique sur "supprimer le proxy"
▶ Une fois qu'il aura fini, un rapport s'ouvrira.
♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
~~
▶ Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware
▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le
▶ Clique dans l'onglet du haut "Recherche"
▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
▶ Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression
Quelque soit le résultat, copie/colle le rapport dans le prochain message
~~
Enfin, refais un ZHPDiag :o)
A bientôt !
.::. Contributeur Sécurité .::.
RE ;)
1) ADWcleaner : http://www.cijoint.fr/cjlink.php?file=cj201110/cijGM1GlOM.txt
2)Ad-remover :http://www.cijoint.fr/cjlink.php?file=cj201110/cijx80qbbc.
3)Pre-scan : http://www.cijoint.fr/cjlink.php?file=cj201110/cijR9kqv0e.txt
4)MBAM: http://www.cijoint.fr/cjlink.php?file=cj201110/cijUSC5Kjm.txt
5)ZHPdiag :http://www.cijoint.fr/cjlink.php?file=cj201110/ciji12cwsG.txt
Peux-tu me dire comment supprimer définitivement Bing , dans mon moteur de recherche et de mon PC. Je ne sais pas à quoi il est associé.
Dans l'attente de ta réponse.
1) ADWcleaner : http://www.cijoint.fr/cjlink.php?file=cj201110/cijGM1GlOM.txt
2)Ad-remover :http://www.cijoint.fr/cjlink.php?file=cj201110/cijx80qbbc.
3)Pre-scan : http://www.cijoint.fr/cjlink.php?file=cj201110/cijR9kqv0e.txt
4)MBAM: http://www.cijoint.fr/cjlink.php?file=cj201110/cijUSC5Kjm.txt
5)ZHPdiag :http://www.cijoint.fr/cjlink.php?file=cj201110/ciji12cwsG.txt
Peux-tu me dire comment supprimer définitivement Bing , dans mon moteur de recherche et de mon PC. Je ne sais pas à quoi il est associé.
Dans l'attente de ta réponse.
Comment ça, sur quel navigateur?
Bing c'est le moteur de recherche de Microsoft
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
Bing c'est le moteur de recherche de Microsoft
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
M3 - MFPP: Plugins - [Fred] -- C:\Users\Fred\AppData\Roaming\Mozilla\Firefox\Profiles\886wkova.default\searchplugins\Mp3Tube.xml => Infection BT (Adware.Mp3Tube)
[HKCU\Software\AppDataLow\Software\Mp3Tube] => Infection BT (Adware.MP3Tube)
[HKLM\Software\AntiMalware] => Infection Rogue (Rogue.ActiveSecurity)
[HKLM\Software\Iminent] => Infection PUP (Adware.IMBooster)
O43 - CFD: 08/09/2011 - 18:14:18 - [797160] ----D- C:\Program Files\Iminent => Infection PUP (Adware.IMBooster)
O69 - SBI: SearchScopes [HKCU] {A816367E-1950-436E-831D-92F5F125ECDA} - (Yahoo-Mp3Tube) - http://mp3tubetoolbarsearch.com => Infection BT (Adware.Mp3Tube)
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}] => Infection BT (Adware.2Search)
[HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}] => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}] => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}] => Infection PUP (PUP.Eorezo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}] => Infection PUP (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}] => Infection PUP (Adware.IMBooster)
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}] => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}] => Infection PUP (PUP.Eorezo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] => Infection PUP (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}] => Infection PUP (Adware.IMBooster)
[HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}] => Infection PUP (PUP.Eorezo)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] => Infection BT (Trojan.Adclicker)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] => Infection BT (Trojan.Adclicker)
[HKLM\Software\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] => Infection BT (Trojan.Adclicker)
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}] => Infection BT (Trojan.Adclicker)
[HKLM\Software\Iminent] => Infection PUP (Adware.IMBooster)
C:\Program Files\Iminent => Infection PUP (Adware.IMBooster)
C:\Users\Fred\AppData\LocalLow\Mp3Tube Toolbar => Infection BT (Adware.Mp3Tube)
M3 - MFPP: Plugins - [Fred] -- C:\Program Files\Mozilla FireFox\searchplugins\privatesearch.xml =>
[MD5.2CFEA9C337B699ACA38487E8A7438F35] - (.AnchorFree Inc. - Pas de description.) -- C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe [363336] [PID.]
R3 - URLSearchHook: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (...) (No version) -- (.not file.) => Toolbar.Conduit
O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} . (.AnchorFree Inc. - Pas de description.) -- C:\Program Files\Hotspot Shield\HssIE\HssIE.dll
O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html => SweetIM Toolbar
O23 - Service: Hotspot Shield Routing Service (HssSrv) . (.AnchorFree Inc. - Pas de description.) - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
[HKCU\Software\HotspotShield] => AnchorFree
[HKCU\Software\SweetIM] => Toolbar.SweetIM
O43 - CFD: 28/09/2011 - 23:09:04 - [7409526] ----D- C:\Program Files\Hotspot Shield => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026}] => Infection BT (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{58124A0B-DC32-4180-9BFF-E0E21AE34026}] => Infection BT (Adware.IMBooster)
[HKLM\SYSTEM\CurrentControlSet\Services\HssSrv] => Toolbar.Agent
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv] => Toolbar.Agent
[HKCU\Software\HotspotShield] => AnchorFree
[HKLM\Software\HotspotShield] => AnchorFree
[HKCU\Software\SweetIM] => Toolbar.SweetIM
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM] => Toolbar.SweetIM
C:\Program Files\Hotspot Shield => Toolbar.Conduit
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hotspot Shield => Toolbar.Conduit
SR - | Auto 28/09/2011 363336 | (HssSrv) . (.AnchorFree Inc..) - C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe
EMPTYTEMP
EMPTYFLASH
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
re ;
1) http://www.cijoint.fr/cjlink.php?file=cj201110/cijYVh7IRL.txt
Et voici,
J'aimerai enlever complétement ce moteur de recherche BING justement .
1) http://www.cijoint.fr/cjlink.php?file=cj201110/cijYVh7IRL.txt
Et voici,
J'aimerai enlever complétement ce moteur de recherche BING justement .
Bien sur j'ai déjà essayer,
Également, avec "about:config", keyword et changer .URL mais ça ne fonctionne toujours pas .
Également, avec "about:config", keyword et changer .URL mais ça ne fonctionne toujours pas .
▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu''administrateur)
▶ Lance OTL
▶ Sous Personnalisation, copie-colle ce qu''il y a dans le cadre ci-dessous :
▶ Clique sur le bouton Analyse.
▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu''administrateur)
▶ Lance OTL
▶ Sous Personnalisation, copie-colle ce qu''il y a dans le cadre ci-dessous :
netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %temp%\*.exe /s %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav /md5start explorer.exe winlogon.exe wininit.exe /md5stop CREATERESTOREPOINT nslookup www.google.fr /c
▶ Clique sur le bouton Analyse.
▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
▶ Télécharge SEAF (de C_XX) sur ton Bureau.
▶ Lance SEAF
▶ Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
▶ Tape 38576728.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
▶ Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
▶ Lance SEAF
▶ Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
▶ Tape 38576728.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
▶ Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
re ,
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 17:28:50 le 16/10/2011
4.
5. Valeur(s) recherchée(s):
6. 38576728.sys
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13.
14. ====== Fichier(s) ======
15.
16. Aucun fichier trouvé
17.
18.
19. ====== Entrée(s) du registre ======
20.
21.
22. [HKLM\System\ControlSet001\Control\SafeBoot\Minimal\38576728.sys]
23. DA: 12/10/2011 18:57:07
24.
25. [HKLM\System\ControlSet001\Control\SafeBoot\Network\38576728.sys]
26. DA: 12/10/2011 18:57:07
27.
28. [HKLM\System\ControlSet010\Control\SafeBoot\Minimal\38576728.sys]
29. DA: 12/10/2011 18:57:07
30.
31. [HKLM\System\ControlSet010\Control\SafeBoot\Network\38576728.sys]
32. DA: 12/10/2011 18:57:07
33.
34. [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\38576728.sys]
35. DA: 12/10/2011 18:57:07
36.
37. [HKLM\System\CurrentControlSet\Control\SafeBoot\Network\38576728.sys]
38. DA: 12/10/2011 18:57:07
39.
40. =========================
41.
42. Fin à: 17:35:43 le 16/10/2011
43. 499517 Éléments analysés
44.
45. =========================
46. E.O.F
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 17:28:50 le 16/10/2011
4.
5. Valeur(s) recherchée(s):
6. 38576728.sys
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13.
14. ====== Fichier(s) ======
15.
16. Aucun fichier trouvé
17.
18.
19. ====== Entrée(s) du registre ======
20.
21.
22. [HKLM\System\ControlSet001\Control\SafeBoot\Minimal\38576728.sys]
23. DA: 12/10/2011 18:57:07
24.
25. [HKLM\System\ControlSet001\Control\SafeBoot\Network\38576728.sys]
26. DA: 12/10/2011 18:57:07
27.
28. [HKLM\System\ControlSet010\Control\SafeBoot\Minimal\38576728.sys]
29. DA: 12/10/2011 18:57:07
30.
31. [HKLM\System\ControlSet010\Control\SafeBoot\Network\38576728.sys]
32. DA: 12/10/2011 18:57:07
33.
34. [HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\38576728.sys]
35. DA: 12/10/2011 18:57:07
36.
37. [HKLM\System\CurrentControlSet\Control\SafeBoot\Network\38576728.sys]
38. DA: 12/10/2011 18:57:07
39.
40. =========================
41.
42. Fin à: 17:35:43 le 16/10/2011
43. 499517 Éléments analysés
44.
45. =========================
46. E.O.F
'ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: ""
FF - prefs.js..browser.search.defaultthis.engineName: "Web Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: ""
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.6.0.10
FF - prefs.js..extensions.enabledItems: {C9B68337-E93A-44EA-94DC-CB300EC06444}:4.20.0
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found.
FF - prefs.js..extensions.enabledItems: webbooster@iminent.com:4.21.0
FF - prefs.js..keyword.URL: "http://mp3tubetoolbarsearch.com/?prt=pinballtb02ff&Keywords="
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
:Files
@Alternate Data Stream - 177 bytes -> C:\Users\Fred\AppData\Local\Temp:SL_{42726572-7361-6369-352e-30312e303032}
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur « Correction » et laisse l''outil travailler. L''ordinateur redémarre.
▶ Copie/colle la totalité du rapport dans ta prochaine réponse.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: ""
FF - prefs.js..browser.search.defaultthis.engineName: "Web Search"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: ""
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.6.0.10
FF - prefs.js..extensions.enabledItems: {C9B68337-E93A-44EA-94DC-CB300EC06444}:4.20.0
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found.
FF - prefs.js..extensions.enabledItems: webbooster@iminent.com:4.21.0
FF - prefs.js..keyword.URL: "http://mp3tubetoolbarsearch.com/?prt=pinballtb02ff&Keywords="
IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
:Files
@Alternate Data Stream - 177 bytes -> C:\Users\Fred\AppData\Local\Temp:SL_{42726572-7361-6369-352e-30312e303032}
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur « Correction » et laisse l''outil travailler. L''ordinateur redémarre.
▶ Copie/colle la totalité du rapport dans ta prochaine réponse.
re ;)
Voici :D
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "" removed from browser.search.defaultenginename
Prefs.js: "Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "" removed from browser.search.selectedEngine
Prefs.js: true removed from browser.search.useDBForOrder
Prefs.js: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.6.0.10 removed from extensions.enabledItems
Prefs.js: {C9B68337-E93A-44EA-94DC-CB300EC06444}:4.20.0 removed from extensions.enabledItems
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}\ not found.
Prefs.js: webbooster@iminent.com:4.21.0 removed from extensions.enabledItems
Prefs.js: "http://mp3tubetoolbarsearch.com/?prt=pinballtb02ff&Keywords=" removed from keyword.URL
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{ba14329e-9550-4989-b3f2-9732e92d17cc} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ not found.
========== FILES ==========
ADS C:\Users\Fred\AppData\Local\Temp:SL_{42726572-7361-6369-352e-30312e303032} deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 2843 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Fred
->Temp folder emptied: 189138 bytes
->Temporary Internet Files folder emptied: 2687378 bytes
->Java cache emptied: 4277760 bytes
->FireFox cache emptied: 57933060 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 1965849 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1405440 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 28669 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 65,00 mb
OTL by OldTimer - Version 3.2.30.0 log created on 10172011_172719
Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Voici :D
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Prefs.js: "Ask.com" removed from browser.search.defaultengine
Prefs.js: "" removed from browser.search.defaultenginename
Prefs.js: "Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "Ask.com" removed from browser.search.order.1
Prefs.js: "" removed from browser.search.selectedEngine
Prefs.js: true removed from browser.search.useDBForOrder
Prefs.js: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.6.0.10 removed from extensions.enabledItems
Prefs.js: {C9B68337-E93A-44EA-94DC-CB300EC06444}:4.20.0 removed from extensions.enabledItems
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{977AE9CC-AF83-45E8-9E03-E2798216E2D5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}\ not found.
Prefs.js: webbooster@iminent.com:4.21.0 removed from extensions.enabledItems
Prefs.js: "http://mp3tubetoolbarsearch.com/?prt=pinballtb02ff&Keywords=" removed from keyword.URL
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{ba14329e-9550-4989-b3f2-9732e92d17cc} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ not found.
========== FILES ==========
ADS C:\Users\Fred\AppData\Local\Temp:SL_{42726572-7361-6369-352e-30312e303032} deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 2843 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Fred
->Temp folder emptied: 189138 bytes
->Temporary Internet Files folder emptied: 2687378 bytes
->Java cache emptied: 4277760 bytes
->FireFox cache emptied: 57933060 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 1965849 bytes
User: Public
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 1405440 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 28669 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 65,00 mb
OTL by OldTimer - Version 3.2.30.0 log created on 10172011_172719
Files\Folders moved on Reboot...
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
Registry entries deleted on Reboot...
