Demande aide : Virus Vista Security 2012

Résolu/Fermé
Luna - 30 déc. 2011 à 19:49
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 - 8 janv. 2012 à 19:22
Bonjour,

Aujourd'hui, en cliquant sur une page web, j'ai été infectée par Vista Security 2012.
Alors j'ai eu les fenetres d'alerte et j'ai été voir sur le web ce que c'était et ce qu'il fallait faire.( je ne suis pas du tout pro des ordis au fait..)

J'ai fais un scan sous Trojan Killer qui m'a repéré 2 trucs (ivv.exe et un fichier vuze "worm") mais qui ne les répare pas car il faut payer (alors que je suis déjà sous antivirus ESET NOD 32, mais qui ne m'a pas protégé pour ce coup là apparemment).
Une fois que j'ai eu les emplacement, j'ai fais un coup ciblé de ESET sur le fichier USER où étaient les virus. J'ai cru que ça avait marché, mais en refaisant un scan Trojan Killer, ils sont toujours là... :-( (mais depuis, je n'ai plus les fenêtres intempestives du virus security 2012, pour l'instant...)

Alors, voila, help... y a il une manière (pas trop compliquée...) de s'en débarrasser ?
Si je cède pour la licence Trojan Killer, est-ce efficace ? (et pourquoi ESET Nod ne marche pas sur ce virus ,)

Un grand merci d'avance pour votre aide...

41 réponses

Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
30 déc. 2011 à 19:52
Salut,

* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

@+

4
merci :-)

Voici le rapport

RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Claire [Droits d'admin]
Mode: Suppression -- Date : 30/12/2011 19:54:38

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 4 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 activate.adobe.com


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] eabd7b72b33bb8c93ace797140379fad
[BSP] 709a88ba9f9fba8b85f93dc7d7abf4ca : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 240036 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 468822016 | Size: 10019 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

il me reste une fentre bleue ou il me demande de cliquer pour continuer
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
Modifié par Fish66 le 30/12/2011 à 20:37
Re,
1/
Relance RogueKiller puis tapes 3 puis 6 et poste les deux rapports correspondants à ces 2 options

2/
/!\ ATTENTION : cette analyse peut durer quelques heures /!\

* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Lance Malwarebytes' Anti-Malware
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

* Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

* Copie/colle le rapport dans le prochain message


Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.

@+


_ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur sécurité_ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
toujours merci pour l'aide, alors j'ai fais la partie 1 (ça a été rapide) et vais commencer la 2

Voici le rapport

RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Claire [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 30/12/2011 20:41:30

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 15 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 164 / Fail 0
Mes documents: Success 47 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 246 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 350 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Est-ce que c'est en bonne voie ?
allez je lance l'autre logiciel :-)
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
30 déc. 2011 à 21:11
Manque RogueKiller option 3
0
zut, je peux le lancer pendant que l'analyse MABM est en cours ?
0
je l'ai fais du coup, pendant l'analyse

le 3
RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Claire [Droits d'admin]
Mode: HOSTS RAZ -- Date : 30/12/2011 22:04:03

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 activate.adobe.com


¤¤¤ Nouveau fichier HOSTS: ¤¤¤
127.0.0.1 localhost

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

et le 6 ensuite (toujours en même temps que l'analyse, donc je sais pas si c'est ok)
RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Claire [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 30/12/2011 22:07:51

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 7 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
et voici le rapport de MABM... je supprime tout ?
et sinon, cela fait plusieurs heures que je n'ai pas eu les fenetres du virus affichées...

Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2011.12.30.03

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19088
Claire :: PC-DE-CLAIRE [administrateur]

30/12/2011 21:05:48
mbam-log-2011-12-30 (23-26-41).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 548712
Temps écoulé: 2 heure(s), 19 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Aucune action effectuée.
HKLM\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 3
C:\Program Files\FunWebProducts (Adware.MyWebSearch) -> Aucune action effectuée.
C:\Program Files\FunWebProducts\Installr (Adware.MyWebSearch) -> Aucune action effectuée.
C:\Program Files\FunWebProducts\Installr\1.bin (Adware.MyWebSearch) -> Aucune action effectuée.

Fichier(s) détecté(s): 3
C:\Users\Claire\AppData\Local\Temp\Low\ivv.exe (Trojan.FakeMS) -> Aucune action effectuée.
C:\Users\Claire\Apps\Zone Alarm (Version 6.0.667.000 Pro - Français) + Keygen\keygen.exe (Riskware.Tool.CK) -> Aucune action effectuée.
C:\Users\Claire\Pictures\icones\freestar.exe (Adware.AdVantage) -> Aucune action effectuée.

(fin)

EDIT : j'ai supprimé tout et redemarré : voila le dernier rapport :
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2011.12.30.03

Windows Vista Service Pack 1 x86 NTFS
Internet Explorer 8.0.6001.19088
Claire :: PC-DE-CLAIRE [administrateur]

30/12/2011 21:05:48
mbam-log-2011-12-30 (21-05-48).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 548712
Temps écoulé: 2 heure(s), 19 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 3
C:\Program Files\FunWebProducts (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FunWebProducts\Installr (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\FunWebProducts\Installr\1.bin (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 3
C:\Users\Claire\AppData\Local\Temp\Low\ivv.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Claire\Apps\Zone Alarm (Version 6.0.667.000 Pro - Français) + Keygen\keygen.exe (Riskware.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Claire\Pictures\icones\freestar.exe (Adware.AdVantage) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
31 déc. 2011 à 06:51
Bonjour,

Tu as bien fait :-)

1/
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

2/ Ensuite

Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
Si indisponible, tu peux essayer avec l'un de ces liens:
http://ww38.toofiles.com/fr/documents-upload.html
https://www.terafiles.net/
https://www.casimages.com/
http://pjjoint.malekal.com/

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Hébergement de rapport sur pjjoint.malekal.com

Rends toi sur pjjoint.malekal.com
? Clique sur le bouton Parcourir
? Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
? Clique sur le bouton Envoyer
? Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

? Copie le lien dans ta prochaine réponse. ============================================
Aide : >>> hébergement ICI <<<

@+
0
Toujours un merci pour me guider ainsi... :-)

Voici la réponse pour la phase /1

# AdwCleaner v1.403 - Rapport créé le 31/12/2011 à 11:29:18
# Mis à jour le 24/12/11 à 14h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Claire - PC-DE-CLAIRE (Administrateur)
# Exécuté depuis : C:\Users\Claire\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Viewpoint
Dossier Supprimé : C:\Users\Claire\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\Viewpoint

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\AskBarDis
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\MetaStream
Clé Supprimée : HKLM\SOFTWARE\Viewpoint
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé Supprimée : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{3041D03E-FD4B-44E0-B742-2D9B88305F98}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.19088

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [3735 octets] - [31/12/2011 11:29:18]

*************************

Dossier Temporaire : 21 dossier(s)et 152 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [3957 octets] ##########
0
et voici pour la partie /2

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111231_v5i10s12d5r8

(pourras-tu me dire si je garde tous les logiciels que j'ai téléchargés ? Si certains peuvent me servir pour faire des contrôles de temps en temps ?)
:-)
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
31 déc. 2011 à 12:53
Re,

Tu gardes Malwarebytes pour le moment et à la fin de la désinfection je vais te donner d'autres conseils pour sécuriser ton PC

1/
* Télécharge OTM (OldTimer) sur ton Bureau

ICI >> OTM (OldTimer)
* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

- Copie (Ctrl+C) le texte suivant en gras ci-dessous :



:files
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe
C:\Program Files\AskBarDis
C:\Program Files\Vuze_Remote
C:\ProgramData\PopCap Games
C:\Users\Claire\AppData\LocalLow\Vuze_Remote


:Reg
[-HKCU\Software\AskBarDis]
[-HKLM\Software\AppDataLow\AskBarDis]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]
[-HKLM\Software\Classes\askibar.popswatterbarbutton]
[-HKLM\Software\Classes\askibar.popswatterbarbutton.1]
[-HKLM\Software\Classes\askibar.popswattersettingscontrol]
[-HKLM\Software\Classes\asktoolbar.settingsplugin]
[-HKLM\Software\Classes\asktoolbar.settingsplugin.1]
[HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}]
[-HKLM\Software\Classes\CLSID\{08993a7c-e764-4172-9627-bfb5ea6897b2}]
[-HKLM\Software\Classes\CLSID\{128a6c66-ac6a-4617-8268-ab7f47b7215e}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[-HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[-HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
[-HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[-HKLM\Software\Classes\Interface\{4634804a-f0b0-4a74-a550-fc0eef8a4362}]
[-HKLM\Software\Classes\CLSID\{571715d7-3395-4df0-b43c-784836209e60}]
[-HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}]
[-HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[-HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]
[-HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]
[-HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]
[-HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
[-HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]
[-HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKLM\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKLM\Software\Classes\TypeLib\{d2e5fa06-dcc7-46f9-beff-bfd06f69b9b2}]
[-HKCU\Software\PopCap]

:services
ASKService
ASKUpgrade






- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

@+
0
voila !

========== FILES ==========
C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe moved successfully.
File/Folder C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe not found.
C:\Program Files\AskBarDis\bar\Settings folder moved successfully.
C:\Program Files\AskBarDis\bar\bin folder moved successfully.
C:\Program Files\AskBarDis\bar folder moved successfully.
C:\Program Files\AskBarDis folder moved successfully.
C:\Program Files\Vuze_Remote folder moved successfully.
C:\ProgramData\PopCap Games\Peggle\userdata folder moved successfully.
C:\ProgramData\PopCap Games\Peggle folder moved successfully.
C:\ProgramData\PopCap Games folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\UserDefinedItems folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\SearchInNewTab folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\Rss folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\Repository\conduit_CT2504091_CT2504091\ToolbarSettings folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\Repository\conduit_CT2504091_CT2504091\ToolbarLogin folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\Repository\conduit_CT2504091_CT2504091 folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\Repository folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\MyStuffComponents folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\Logs folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\LanguagePack\en-us folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\LanguagePack folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\EmailNotifier folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote\CacheIcons folder moved successfully.
C:\Users\Claire\AppData\LocalLow\Vuze_Remote folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\Software\AskBarDis\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\AppDataLow\AskBarDis\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\askibar.popswatterbarbutton\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\askibar.popswatterbarbutton.1\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\askibar.popswattersettingscontrol\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\asktoolbar.settingsplugin\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\asktoolbar.settingsplugin.1\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{08993a7c-e764-4172-9627-bfb5ea6897b2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08993a7c-e764-4172-9627-bfb5ea6897b2}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{128a6c66-ac6a-4617-8268-ab7f47b7215e}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{128a6c66-ac6a-4617-8268-ab7f47b7215e}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\Interface\{4634804a-f0b0-4a74-a550-fc0eef8a4362}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4634804a-f0b0-4a74-a550-fc0eef8a4362}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{571715d7-3395-4df0-b43c-784836209e60}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{571715d7-3395-4df0-b43c-784836209e60}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}\ not found.
Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{d2e5fa06-dcc7-46f9-beff-bfd06f69b9b2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d2e5fa06-dcc7-46f9-beff-bfd06f69b9b2}\ not found.
Registry key HKEY_CURRENT_USER\Software\PopCap\ deleted successfully.
========== SERVICES/DRIVERS ==========
Service ASKService stopped successfully!
Service ASKService deleted successfully!
Service ASKUpgrade stopped successfully!
Service ASKUpgrade deleted successfully!

OTM by OldTimer - Version 3.1.19.0 log created on 12312011_131249
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
31 déc. 2011 à 14:17
Re,
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


R3 - URLSearchHook: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (5, 7, 2, 2) -- C:\Program Files\Vuze_Remote\tbVuze.dll
O2 - BHO: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll
O3 - Toolbar: Vuze Remote Toolbar - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Vuze_Remote\tbVuze.dll
O43 - CFD: 26/12/2008 - 21:06:20 - [1,941] ----D- C:\Program Files\AskBarDis => Toolbar.Ask
O69 - SBI: SearchScopes [HKCU] {90F923A7-DBF5-B32E-3FE9-2312DEA86938} - (Ask) - http://www.audacitystart.com => Toolbar.Ask
OPT:O4 - HKLM\..\Run: [NWEReboot] Clé orpheline
OPT:O4 - Global Startup: C:\Users\Claire\Desktop\ .lnk - Clé orpheline
OPT:O4 - Global Startup: C:\Users\Claire\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet.lnk - Clé orpheline
[MD5.0AD63526F1D224B63A60D240064FDF24] - (...) -- C:\Program Files\AskBarDis\bar\bin\AskService.exe [464264] [PID.]
[MD5.A7ACF110739929DBC6C7651F95FCB42C] - (...) -- C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe [234888] [PID.]
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} . (.Ask.com - Ask.com Toolbar.) -- C:\Program Files\AskBarDis\bar\bin\askBar.dll => Infection BT (Adware.AskBarDis)
O23 - Service: ASKService (ASKService) . (...) - C:\Program Files\AskBarDis\bar\bin\AskService.exe => Infection BT (Adware.AskBarDis)
O43 - CFD: 06/11/2011 - 19:42:40 - [0,002] ----D- C:\ProgramData\PopCap Games => Infection BT (Adware.PopCap)
SR - | Auto 464264 | (ASKService) . (...) - C:\Program Files\AskBarDis\bar\bin\AskService.exe => Infection BT (Adware.AskBarDis)

FirewallRAZ
EmptyFlash




Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

@+
0
voila :

Rapport de ZHPFix 1.12.3377 par Nicolas Coolman, Update du 26/12/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-31-12-2011-17-49-59.txt
Run by Claire at 31/12/2011 17:49:59
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: CLSID BHO: {ba14329e-9550-4989-b3f2-9732e92d17cc}
SUPPRIME Key: SearchScopes :{90F923A7-DBF5-B32E-3FE9-2312DEA86938}
ABSENT Key: CLSID BHO: {201f27d4-3704-41d6-89c1-aa35e39143ed}
ABSENT Key: Service: ASKService

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc}
ABSENT Toolbar: {ba14329e-9550-4989-b3f2-9732e92d17cc}
ABSENT RunValue: NWEReboot
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
ABSENT C:\Program Files\AskBarDis
ABSENT C:\ProgramData\PopCap Games
SUPPRIME Flash Cookies: 297

========== Fichier(s) ==========
ABSENT File: c:\program files\vuze_remote\tbvuze.dll
ABSENT File: c:\users\claire\desktop\ .lnk
SUPPRIME File: c:\users\claire\appdata\roaming\microsoft\internet explorer\quick launch\internet.lnk
ABSENT Folder/File: c:\program files\askbardis\bar\bin\askservice.exe
ABSENT Folder/File: c:\program files\askbardis\bar\bin\askupgrade.exe
ABSENT File: c:\program files\askbardis\bar\bin\askbar.dll
ABSENT File: c:\program files\askbardis\bar\bin\askservice.exe
SUPPRIME Flash Cookies: 109


========== Récapitulatif ==========
4 : Clé(s) du Registre
6 : Valeur(s) du Registre
3 : Dossier(s)
8 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 31/12/2011 17:49:59 [1789]
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
31 déc. 2011 à 17:53
Re,

Lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag

@+
0
Voila !
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111231_r14t7v7k11h15
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
31 déc. 2011 à 19:56
Re,
Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

. Télécharge Defogger (de jpshortstuff) sur ton Bureau

. Lance le

Une fenêtre apparait : clique sur "Disable"

. Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

Attention, avant de commencer, lit attentivement la procédure

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

? Fais un clic droit sur ce lien, enregistre le dans ton bureau

Voici Aide combofix


* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

*Note : Le rapport se trouve également là : C:\ComboFix.txt
0
ça me fait un peu peur de faire toutes ces manips... c'est sur qu'il le faut (ça c'est juste pour me rassurer...!!!? (et sinon, je pense que je le ferai demain, après le champagne...!) Bon réveillon à toi :-)
0
Bonjour Fish66 et déjà je te souhaite une très bonne année 2012, en te remerciant d'aider les personnes en détresse technologique comme moi :-)

J'ai fais la fameuse manip qui me faisait peur et voila le rapport. Jr crois que je n'avais pas désactivé Windows defender... je n'avais pas lancé deffogger car je ne pensais pas avoir les logiciels concernés. Peut-être me suis-je trompée ?
Et sinon, mon PC a eu des modifications mineures (retour des flèches sur mes raccourcis du bureau, j'avais fais une manip il y a longtemps pour les retirer, et plus d'icone sur ma barre du bas, à coté de l'horloge)
J'ai aussi le dossier CLAIRE (avec tous les docs me concernant) sur mon bureau (mais depuis hier) et ce ne semble pas être un raccourci.

Voila le rapport :

ComboFix 11-12-31.03 - Claire 01/01/2012 9:49.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3068.1835 [GMT 1:00]
Lancé depuis: c:\users\Claire\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {CB0F8167-5331-BA19-698E-64816B6801A5}
SP: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {706E6083-750B-B597-533E-5FF310EF4B18}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-12-01 au 2012-01-01 ))))))))))))))))))))))))))))))))))))
.
.
2012-01-01 08:57 . 2012-01-01 08:57 -------- d-----w- c:\users\Claire\AppData\Local\temp
2012-01-01 08:57 . 2012-01-01 08:57 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-01-01 08:19 . 2012-01-01 08:19 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{72B5D9D8-1981-4871-A2CD-95F8E96B90D5}\offreg.dll
2011-12-31 12:12 . 2011-12-31 12:12 -------- d-----w- C:\_OTM
2011-12-31 10:38 . 2011-12-31 17:36 -------- d-----w- C:\ZHP
2011-12-31 10:37 . 2011-12-31 17:36 -------- d-----w- c:\program files\ZHPDiag
2011-12-30 20:04 . 2011-12-30 20:04 -------- d-----w- c:\users\Claire\AppData\Roaming\Malwarebytes
2011-12-30 20:03 . 2011-12-30 20:03 -------- d-----w- c:\programdata\Malwarebytes
2011-12-30 20:03 . 2011-12-30 20:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-12-30 20:03 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-30 18:54 . 2011-12-30 21:05 111872 ----a-w- c:\windows\system32\drivers\TrueSight.sys
2011-12-30 16:25 . 2011-12-30 16:46 -------- d-----w- c:\program files\GridinSoft Trojan Killer
2011-12-30 09:42 . 2011-11-21 10:47 6823496 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{72B5D9D8-1981-4871-A2CD-95F8E96B90D5}\mpengine.dll
2011-12-09 16:33 . 2011-12-09 16:33 -------- d-----w- c:\users\Claire\AppData\Local\2DBoy
2011-12-09 16:33 . 2011-12-09 16:33 -------- d-----w- c:\programdata\2DBoy
2011-12-09 16:32 . 2011-12-09 16:32 -------- d-----w- c:\program files\WorldOfGoo
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-14 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-14 92704]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-01-18 1033512]
"SysTrayApp"="c:\program files\IDT\WDM\sttray.exe" [2008-06-27 442467]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-06-25 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-03-14 202032]
"OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-11-01 554288]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"Server Application"="c:\windows\system32\ServoApp.exe" [2008-05-16 417792]
"GDI Manager"="c:\program files\MFP Server\App\Common\MFPAgent.exe" [2008-05-16 741376]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"USBToolTip"="c:\progra~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe" [2007-02-20 199752]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]
.
c:\users\Claire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
MagicDisc.lnk - c:\program files\MagicDisc\MagicDisc.exe [2010-2-24 576000]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Camera Monitor HD.lnk - c:\program files\PIXELA\Everio MediaBrowser HD Edition\MBCameraMonitor.exe [2010-1-3 541976]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 AliWGP;Composite Device;c:\windows\system32\DRIVERS\mfpcomp.sys [2008-05-16 10880]
R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [2009-02-13 11520]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [2009-11-16 108792]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_a7e996cd\aestsrv.exe [2008-06-27 77824]
S2 ALIWEHCD;MFP Server Enhanced Controller;c:\windows\system32\Drivers\mfpec.sys [2008-05-16 34944]
S2 EFUploadSrv;ExtraFilm upload service;c:\program files\Extrafilm Designer FR\EFUploadSrv.exe [2009-07-09 1716224]
S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-11-16 735960]
S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [2009-12-18 95896]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [2008-03-18 19456]
S2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-04-25 361808]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-02-07 193840]
S3 enecir;ENE CIR Receiver;c:\windows\system32\DRIVERS\enecir.sys [2008-01-24 52736]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [2008-07-08 96856]
S3 NETw5v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits ;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-04-28 3658752]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-05-14 43552]
S3 WUSBVBus;MFP Server Detector;c:\windows\system32\DRIVERS\mfpvbus.sys [2008-05-16 10240]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 12:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Contenu du dossier 'Tâches planifiées'
.
2011-12-31 c:\windows\Tasks\User_Feed_Synchronization-{999FB9DF-BCDA-4A10-A4EA-7371D3E79213}.job
- c:\windows\system32\msfeedssync.exe [2011-06-16 04:32]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.yahoo.fr/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cnnb
uInternet Settings,ProxyOverride = *.local
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-FR\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.42
.
- - - - ORPHELINS SUPPRIMES - - - -
.
Toolbar-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)
HKLM-Run-MFP Manager - c:\program files\MFP Server\MFPAgent.exe
HKLM-Run-NWEReboot - (no file)
AddRemove-Vuze_Remote Toolbar - c:\progra~1\VUZE_R~1\UNWISE.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-01-01 09:57
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Heure de fin: 2012-01-01 09:59:41
ComboFix-quarantined-files.txt 2012-01-01 08:59
.
Avant-CF: 1 795 088 384 octets libres
Après-CF: 28 186 419 200 octets libres
.
- - End Of File - - 3043B9494138408E87F6D42609251753
0
et j'ai aussi 25 Go supplémentaires de disponible... (?)
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
1 janv. 2012 à 13:19
Re,

Relance RogueKiller puis tapes 6 et poste le rapport stp

@+
0
voila :

RogueKiller V6.2.1 [28/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Claire [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 01/01/2012 13:26:13

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 21 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 4 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Fish66 Messages postés 17505 Date d'inscription dimanche 24 juillet 2011 Statut Contributeur sécurité Dernière intervention 16 juin 2021 1 318
1 janv. 2012 à 13:29
Re,

1/
Est ce que tu as récupéré ce qui a été disparu ?

2/
Un nouveau rapport ZHPDiag stp

@+
0
1/je ne sais pas ce qui a disparu, mes musiques et mes photos sont bien là... le reste semble aussi... cela faisait un moment que mon disque dur était presque plein et là j'ai bien 25 go en plus quand je vais voir sur les propriétés de mon disque C (sinon, j'avais fais une sauvegarde de mes donnée sur disque externe)

2/
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120101_v5g6f9z14f11
0