Probleme infection "system fix"
Résolu
tricky27kid
Messages postés
143
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
je viens d'être infecté par une sorte de virus avec une icone "system fix". la plupart des icones du bureau ont disparues, je ne peux pas acceder a internet (j utilise en ce moment un netbook)
je viens donc solliciter l'aide de la communauté ccm, pour me debarasser de ce nuisible
merci d'avance !
Martin
je viens d'être infecté par une sorte de virus avec une icone "system fix". la plupart des icones du bureau ont disparues, je ne peux pas acceder a internet (j utilise en ce moment un netbook)
je viens donc solliciter l'aide de la communauté ccm, pour me debarasser de ce nuisible
merci d'avance !
Martin
A voir également:
- Probleme infection "system fix"
- Reboot system now - Guide
- Fix it - Télécharger - Optimisation
- Cette action ne peut pas être réalisée car le fichier est ouvert dans system - Guide
- System fan 90b - Forum Matériel & Système
- Microsoft fix it - Télécharger - Utilitaires
91 réponses
▶ Télécharge Reload_TDSSKiller
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
=====================
depuis ce lien : http://anywhere.webrootcloudav.com/antizeroaccess.exe
Le télécharger et le lancer.
Répondre Yes (oui) à la question, en tapant sur Y puis Entrée
Le fix vous informe qu'un des fichiers systèmes a été patché et vous propose de le nettoyer.
Tapez Y (oui) et Entrée pour lancer le nettoyage.
Si l'opération a réussi, vous devez avoir le message Cleaned en vert.
Appuyez sur une touche et redémarrer l'ordinateur.
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
=====================
depuis ce lien : http://anywhere.webrootcloudav.com/antizeroaccess.exe
Le télécharger et le lancer.
Répondre Yes (oui) à la question, en tapant sur Y puis Entrée
Le fix vous informe qu'un des fichiers systèmes a été patché et vous propose de le nettoyer.
Tapez Y (oui) et Entrée pour lancer le nettoyage.
Si l'opération a réussi, vous devez avoir le message Cleaned en vert.
Appuyez sur une touche et redémarrer l'ordinateur.
bien noté, je vais faire tout ça.
mais au redemarrage, combofix a relancé son diagnostic, jusque vers l etape 50, et là depuis 20 mn, une suite de lignes C program files windows searchqu toolbar datamnrg toolbar chrome skin lib se succedent.. je laisse faire ?
si oui, est-ce que je poste le rapport avant d effectuer les nouvelles operations ?
merci
mais au redemarrage, combofix a relancé son diagnostic, jusque vers l etape 50, et là depuis 20 mn, une suite de lignes C program files windows searchqu toolbar datamnrg toolbar chrome skin lib se succedent.. je laisse faire ?
si oui, est-ce que je poste le rapport avant d effectuer les nouvelles operations ?
merci
ce n'est pas sans emotion, que j'ai vu reapparaitre le bureau ainsi que les icones qui avaient disparues
voici le rapport
https://www.cjoint.com/?3KsmOpa2STC
voici le rapport
https://www.cjoint.com/?3KsmOpa2STC
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
tddskiller oui , mais après ceci :
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\program files\wrar370fr.exe
Folder::
c:\program files\Viewpoint
c:\documents and settings\Tricky\Application Data\searchqutoolbar
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
DDS::
uInternet Connection Wizard,ShellNext = iexplore
RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\program files\wrar370fr.exe
Folder::
c:\program files\Viewpoint
c:\documents and settings\Tricky\Application Data\searchqutoolbar
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
DDS::
uInternet Connection Wizard,ShellNext = iexplore
RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
ah oui, excuse moi
voici deja le rapport adw, une fenetre s est egalemnt ouverte "un programme de votre ordinateur a corrompu le parametre de votre moteur de recherche par defaut internet explorer. ie a reinitialise le param de votre moteur de rech d'origine, web saerch. ie ouvrira desormais param de rech, ou vous pourrez modifier ce parametre ou installer d autres mot de rech.
le rapport
# AdwCleaner v1.318 - Rapport créé le 19/11/2011 à 16:22:15
# Mis à jour le 13/11/11 à 21h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Tricky - PC-TRICKY (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Tricky\Bureau\adwcleaner0.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Viewpoint
Dossier Supprimé : C:\Documents and Settings\Tricky\Application Data\searchquband
Dossier Supprimé : C:\Documents and Settings\Tricky\Local Settings\Application Data\Conduit
Dossier Supprimé : C:\Program Files\Conduit
***** [Registre] *****
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\searchqutoolbar
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\MetaStream
Clé Supprimée : HKLM\SOFTWARE\Viewpoint
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [339 octets] - [19/11/2011 16:22:02]
AdwCleaner[S2].txt - [3178 octets] - [19/11/2011 16:22:15]
*************************
Dossier Temporaire : 2 dossier(s)et 9 fichier(s) supprimés
########## EOF - C:\AdwCleaner[S2].txt - [3397 octets] ##########
voici deja le rapport adw, une fenetre s est egalemnt ouverte "un programme de votre ordinateur a corrompu le parametre de votre moteur de recherche par defaut internet explorer. ie a reinitialise le param de votre moteur de rech d'origine, web saerch. ie ouvrira desormais param de rech, ou vous pourrez modifier ce parametre ou installer d autres mot de rech.
le rapport
# AdwCleaner v1.318 - Rapport créé le 19/11/2011 à 16:22:15
# Mis à jour le 13/11/11 à 21h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Tricky - PC-TRICKY (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Tricky\Bureau\adwcleaner0.exe
# Option [Suppression]
***** [Services] *****
***** [Fichiers / Dossiers] *****
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Viewpoint
Dossier Supprimé : C:\Documents and Settings\Tricky\Application Data\searchquband
Dossier Supprimé : C:\Documents and Settings\Tricky\Local Settings\Application Data\Conduit
Dossier Supprimé : C:\Program Files\Conduit
***** [Registre] *****
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\searchqutoolbar
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\MetaStream
Clé Supprimée : HKLM\SOFTWARE\Viewpoint
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard
Clé Supprimée : HKLM\SOFTWARE\Classes\SearchQUIEHelper.DNSGuard.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079a25-328f-4bd4-be04-00955acaa0a7}
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]
***** [Navigateurs] *****
-\\ Internet Explorer v8.0.6001.18702
[OK] Le registre ne contient aucune entrée illégitime.
*************************
AdwCleaner[S1].txt - [339 octets] - [19/11/2011 16:22:02]
AdwCleaner[S2].txt - [3178 octets] - [19/11/2011 16:22:15]
*************************
Dossier Temporaire : 2 dossier(s)et 9 fichier(s) supprimés
########## EOF - C:\AdwCleaner[S2].txt - [3397 octets] ##########
et voici le second rapport
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:33:52 le 19/11/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
Tricky@PC-TRICKY ( )
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2851639
Clé supprimée: HKU\.DEFAULT\Software\Conduit
Clé supprimée: HKU\.DEFAULT\Software\conduitEngine
Clé supprimée: HKU\.DEFAULT\Software\PriceGong
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}
============== SCAN ADDITIONNEL ==============
**** Internet Explorer Version [8.0.6001.18702] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{4982D40A-C53B-4615-B15B-B5B5E98D167C} (x)
HKCU_Toolbar\WebBrowser|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll)
HKCU_Toolbar\WebBrowser|{2C688203-7EB3-4327-9995-1CB417BA23F9} (x)
HKLM_ElevationPolicy\{C4DDD215-C7D8-417C-9FD9-67ED94BD09AC} - C:\PROGRA~1\WI9130~1\Datamngr\ToolBar\dtUser.exe (x)
BHO\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - "Yontoo Layers" (C:\Program Files\Yontoo Layers Runtime\YontooIEClient.dll)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 12 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 19/11/2011 16:33:58 (899 Octet(s))
Fin à: 16:35:21, 19/11/2011
============== E.O.F ==============
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======
Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org
C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:33:52 le 19/11/2011, Mode normal
Microsoft Windows XP Professionnel Service Pack 2 (X86)
Tricky@PC-TRICKY ( )
============== ACTION(S) ==============
(!) -- Fichiers temporaires supprimés.
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2851639
Clé supprimée: HKU\.DEFAULT\Software\Conduit
Clé supprimée: HKU\.DEFAULT\Software\conduitEngine
Clé supprimée: HKU\.DEFAULT\Software\PriceGong
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}
============== SCAN ADDITIONNEL ==============
**** Internet Explorer Version [8.0.6001.18702] ****
HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\WebBrowser|{4982D40A-C53B-4615-B15B-B5B5E98D167C} (x)
HKCU_Toolbar\WebBrowser|{DE9C389F-3316-41A7-809B-AA305ED9D922} (C:\Program Files\AOL\AOL Toolbar 4.0\aoltb.dll)
HKCU_Toolbar\WebBrowser|{2C688203-7EB3-4327-9995-1CB417BA23F9} (x)
HKLM_ElevationPolicy\{C4DDD215-C7D8-417C-9FD9-67ED94BD09AC} - C:\PROGRA~1\WI9130~1\Datamngr\ToolBar\dtUser.exe (x)
BHO\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - "Yontoo Layers" (C:\Program Files\Yontoo Layers Runtime\YontooIEClient.dll)
========================================
C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 12 Fichier(s)
C:\Ad-Report-CLEAN[1].txt - 19/11/2011 16:33:58 (899 Octet(s))
Fin à: 16:35:21, 19/11/2011
============== E.O.F ==============
execution rapide, message final "your system is not infected by zeroaccess/max++ rootkit !
le rapport
Webroot AntiZeroAccess 0.8 Log File
Execution time: 19/11/2011 - 17:24
Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 2
17:24:40 - CheckSystem - Begin to check system...
17:24:40 - OpenRootDrive - Opening system root volume and physical drive....
17:24:40 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x04E1EDEC sectors.
17:24:41 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".
17:24:41 - InstallAndStartDriver - Main driver was installed and now is running.
17:24:41 - CheckSystem - Disk class driver state is OK.
17:24:47 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
17:24:47 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
17:24:47 - Execution Ended!
Webroot AntiZeroAccess 0.8 Log File
Execution time: 19/11/2011 - 17:24
Host operation System: Windows Xp X86 version 5.1.2600 Service Pack 2
17:24:40 - CheckSystem - Begin to check system...
17:24:40 - OpenRootDrive - Opening system root volume and physical drive....
17:24:40 - C Root Drive: Disk number: 0 Start sector: 0x0000003F Partition Size: 0x04E1EDEC sectors.
17:24:41 - PrevX Main driver extracted in "C:\WINDOWS\system32\drivers\ZeroAccess.sys".
17:24:41 - InstallAndStartDriver - Main driver was installed and now is running.
17:24:41 - CheckSystem - Disk class driver state is OK.
17:24:47 - StopAndRemoveDriver - AntiZeroAccess Driver is stopped and removed.
17:24:47 - StopAndRemoveDriver - File "ZeroAccess.sys" was deleted!
17:24:47 - Execution Ended!
je viens de le lancer. J ai bien supprimer l icone avant aisni que tous les rapports, mais j ai peut etre oublié un dossier kill em qq part. si c'est le cas j en referai un
