Rogue activate windowsRésolu/Fermé

Question

Bonjour, 

Naviguant tranquillement sur le net, j'eus la mauvaise surprise de voir apparaitre ce qu'il m'a l'air d'être un malware.

Un logiciel du nom d'activate windows m'indique que mon PC aurait été enregistré par un autre utilisateur(en anglais). Il me demande alors plusieurs infos, notamment ma carte de crédit. j'ai donc redemandé le PC, et je me retrouve avec mon bureau vide d'icônes et de raccourcis, ainsi que la barre inférieure qui a été supprimée. ce programme se déclenche dès que je redémarre le PC.

J'aurais donc besoin de conseils pour m'en débarrasser, sachant que j'ai déjà lancé Malwares, et que celui ci crashe au bout de 30 fichiers analysés. 

merci d'avance pour vos réponses. Tout conseil peut m'être utile.

Malekal_morte- · Answer

Salut,

Il est actif en mode sans échec ?

Utilisateur anonyme · Answer

Bonjour

*	Télécharger sur le bureau RogueKiller(par Tigzy)
*	Quitter tous les programmes en cours 
*	Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur 
*	Sinon lancer simplement RogueKiller.exe 
*	Lorsque demandé, taper 2 et valider 
*	Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide 
*	Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

@+

robno · Answer

je ne sais pas et je ne peut pas tester dans l'immédiat. je poste depuis un autre PC

robno · Answer

Merci, guillaume, je testerais ça dès que je le pourrais. C'est pas la première fois que je chope un rogue. merci à tous et bonne journée

robno · Answer

Bonjour, jai essaye la solution de Guillaume mais je ne parvien pas a taper dans "2" dans rogue killer.!Quelque chose doit le bloquer

robno · Answer

Bonjour, voici le rapport de rogue killer: rRogueKiller V6.2.4 [12/01/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version Demarrage : Mode sans echec Utilisateur: philippe [Droits d'admin] Mode: Suppression -- Date : 21/01/2012 15:05:32 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 6 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : System Driver Component ("C:\Users\philippe\AppData\Roaming\drvhost.exe") -> DELETED [HJ NAME] HKCU\[...]\Run : Java (C:\Users\philippe\AppData\Roaming\Temp\Explorer.exe) -> DELETED [SUSP PATH] HKCU\[...]\Run : win (C:\Users\philippe\AppData\Roaming\wlcomm.exe) -> DELETED [HJ NAME] HKCU\[...]\Run : Windows Activation (C:\Users\philippe\AppData\Roaming\services.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 006a2435c658c11e0deb58dffcac0427 [BSP] 94b30ab216c559df6c858d6352ab43f2 : MBR Code unknown Partition table: 0 - [XXXXXX] NTFS [HIDDEN!] Offset (sectors): 2048 | Size: 17179 Mo 1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 33556480 | Size: 311475 Mo 2 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 641906688 | Size: 311477 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt Ps: je l'est lancé en mode sans echec car en mode normale je ne pouvais ecrire "2" Merci d'avance

robno · Answer

uPpPpPP help please

Utilisateur anonyme · Answer

Bonjour

Il faut faire preuve d'un peu de patience ...


En mode normal;

Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+

robno · Answer

voila le rapport fait en recherche rapide :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4429

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19048

1/21/2012 3:11:22 PM
mbam-log-2012-01-21 (15-11-22).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 132433
Temps écoulé: 4 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows explorer (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\philippe\AppData\Roaming\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\philippe\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\philippe\AppData\Roaming\services.exe (Worm.Brontok) -> Quarantined and deleted successfully.
C:\Users\philippe\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\philippe\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\philippe\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\philippe\AppData\Roaming\Windows Desktop (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Users\philippe\AppData\Roaming\Windows (Backdoor.Bot) -> Quarantined and deleted successfully.

Malekal_morte- · Answer

Malwarebyte a viré plein de malwares qui sont pour la majorité des RATs.
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.

Faire attention à ce que vous téléchargez

Utilisateur anonyme · Answer

Re

Tu as retrouvé tes icônes et ton bureau?

@+

robno · Answer

Oui j'ai a nouveau tous sur le bureau

Utilisateur anonyme · Answer

Re



Pour vérifications , fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

robno · Answer

Voila:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120121_x13c14j8r15w9

Utilisateur anonyme · Answer

Re

1)Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
Lance le, clique sur  [Suppression] puis patiente le temps du scan. 
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 

Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start= 


2)Tu procèdes à la mise à jour de la version de Malwaresbytes (version 1.60)
Tu mets à jour cette version
Tu lances une analyse rapide et tu postes ensuite ce nouveau rapport


Poste les rapports au fur et à mesure.

@+

robno · Answer

voila le rapport adw cleaner

# AdwCleaner v1.407 - Rapport créé le 21/01/2012 à 16:43:02
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
# Nom d'utilisateur : philippe - PC-DE-PHILIPPE (Administrateur)
# Exécuté depuis : C:\Users\philippe\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Iminent
Dossier Supprimé : C:\Users\philippe\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\philippe\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Users\philippe\AppData\Local\Babylon
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
Dossier Supprimé : C:\Program Files (x86)\BabylonToolbar
Dossier Supprimé : C:\Program Files (x86)\Mozilla Firefox\extensions\webbooster@iminent.com
Dossier Supprimé : C:\Users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\e7xsxu1k.default\ConduitCommon
Dossier Supprimé : C:\Users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\e7xsxu1k.default\extensions\ffxtlbr@babylon.com
Fichier Supprimé : C:\Program Files (x86)\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\e7xsxu1k.default\searchplugins\Conduit.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\BabylonToolbar
Clé Supprimée : HKCU\Software\Iminent
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Iminent
Clé Supprimée : HKLM\SOFTWARE\Classes\b
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd
Clé Supprimée : HKLM\SOFTWARE\Classes\Babylon.dskBnd.1
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore
Clé Supprimée : HKLM\SOFTWARE\Classes\bbylnApp.appCore.1
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane
Clé Supprimée : HKLM\SOFTWARE\Classes\escort.escortIEPane.1
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc
Clé Supprimée : HKLM\SOFTWARE\Classes\esrv.BabylonESrvc.1
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.ActiveContentHandle.1
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.ActiveContentHandler
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.BrowserHelperObject
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.BrowserHelperObject.1
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.ScriptExtender
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.ScriptExtender.1
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.TinyUrlHandler
Clé Supprimée : HKLM\SOFTWARE\Classes\IminentWebBooster.TinyUrlHandler.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\esrv.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{01994268-3C10-4044-A1EA-7A9C1B739A11}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{291BCCC1-6890-484a-89D3-318C928DAC1B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{B8276A94-891D-453C-9FF3-715C042A2575}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FFB9ADCB-8C79-4C29-81D3-74D46A93D370}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{26C9BBE4-6D45-4AB6-A5B4-E068C9F5EF6D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{479BF2D6-E362-4A99-B1AB-BC764D7B97AE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{4B6D6E60-FBD2-4E79-BF4B-886BC98F1797}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5C176BA0-6FC0-4EBD-8ACF-24AC592506B6}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{796D822A-C3F9-4A97-BAAB-42FE7628EA63}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C875C0A1-09E3-48D5-9F8E-BD337796FD14}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D8F01233-2DE6-4EE7-8988-37263F00651B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DD438708-AAB4-422D-A322-B619589F5680}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\RFC1156Agent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{706D4A4B-184A-4434-B331-296B07493D2D}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{94C0B25D-3359-4B10-B227-F96A77DB773F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B0B75FBA-7288-4FD3-A9EB-7EE27FA65599}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B173667F-8395-4317-8DD6-45AD1FE00047}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2996524-2187-441F-A398-CD6CB6B3D020}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E047E227-5342-4D94-80F7-CFB154BF55BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E77EEF95-3E83-4BB8-9C0D-4A5163774997}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{ACA608DB-A210-4253-B799-3FD24E9A7BF5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C58D664A-3DBC-4925-AE74-0382007DF113}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C776D7F4-BA85-4B75-AAFC-3A0A11FE6E36}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{6E8BF012-2C85-4834-B10A-1B31AF173D70}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A9CAF365-EA35-45DA-BD8B-2EFA09D374AC}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8375D9C8-634F-4ECB-8CF5-C7416BA5D542}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IMBoosterARP
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [support@predictad.com]

***** [Registre (x64)] *****


***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.19048

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Secondary Start Pages] = hxxp://www.ask.com/?o=101764&l=dis
hxxp://global.acer.com --> hxxp://www.google.fr

-\ Mozilla Firefox v9.0.1 (fr)

Profil : e7xsxu1k.default
Fichier : C:\Users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\e7xsxu1k.default\prefs.js

C:\Users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\e7xsxu1k.default\user.js ... Supprimé !

Supprimée : user_pref("CT2260173..clientLogIsEnabled", true);
Supprimée : user_pref("CT2260173..clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.as[...]
Supprimée : user_pref("CT2260173..uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Re[...]
Supprimée : user_pref("CT2260173.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Supprimée : user_pref("CT2260173.CT2260173", "CT2260173");
Supprimée : user_pref("CT2260173.CurrentServerDate", "30-7-2011");
Supprimée : user_pref("CT2260173.DialogsAlignMode", "LTR");
Supprimée : user_pref("CT2260173.DialogsGetterLastCheckTime", "Sat Jul 30 2011 09:24:02 GMT+0200");
Supprimée : user_pref("CT2260173.DownloadReferralCookieData", "");
Supprimée : user_pref("CT2260173.EMailNotifierPollDate", "Sat Jul 30 2011 12:44:24 GMT+0200");
Supprimée : user_pref("CT2260173.FeedLastCount128940659599556287", 0);
Supprimée : user_pref("CT2260173.FeedPollDate128940659196275477", "Sat Jul 30 2011 12:44:24 GMT+0200");
Supprimée : user_pref("CT2260173.FeedPollDate128940659574712536", "Sat Jul 30 2011 11:24:02 GMT+0200");
Supprimée : user_pref("CT2260173.FeedTTL128940659574712536", 40);
Supprimée : user_pref("CT2260173.FirstServerDate", "30-7-2011");
Supprimée : user_pref("CT2260173.FirstTime", true);
Supprimée : user_pref("CT2260173.FirstTimeFF3", true);
Supprimée : user_pref("CT2260173.FixPageNotFoundErrors", false);
Supprimée : user_pref("CT2260173.GroupingServerCheckInterval", 1440);
Supprimée : user_pref("CT2260173.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Supprimée : user_pref("CT2260173.HasUserGlobalKeys", true);
Supprimée : user_pref("CT2260173.HomePageProtectorEnabled", false);
Supprimée : user_pref("CT2260173.Initialize", true);
Supprimée : user_pref("CT2260173.InitializeCommonPrefs", true);
Supprimée : user_pref("CT2260173.InstallationAndCookieDataSentCount", 1);
Supprimée : user_pref("CT2260173.InstalledDate", "Sat Jul 30 2011 09:24:03 GMT+0200");
Supprimée : user_pref("CT2260173.InvalidateCache", false);
Supprimée : user_pref("CT2260173.IsAlertDBUpdated", true);
Supprimée : user_pref("CT2260173.IsGrouping", false);
Supprimée : user_pref("CT2260173.IsInitSetupIni", true);
Supprimée : user_pref("CT2260173.IsMulticommunity", false);
Supprimée : user_pref("CT2260173.IsOpenThankYouPage", true);
Supprimée : user_pref("CT2260173.IsOpenUninstallPage", true);
Supprimée : user_pref("CT2260173.IsProtectorsInit", true);
Supprimée : user_pref("CT2260173.LanguagePackLastCheckTime", "Sat Jul 30 2011 09:24:03 GMT+0200");
Supprimée : user_pref("CT2260173.LanguagePackReloadIntervalMM", 1440);
Supprimée : user_pref("CT2260173.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Supprimée : user_pref("CT2260173.LastLogin_3.5.0.12", "Sat Jul 30 2011 09:24:01 GMT+0200");
Supprimée : user_pref("CT2260173.LatestVersion", "3.3.5.1");
Supprimée : user_pref("CT2260173.Locale", "en");
Supprimée : user_pref("CT2260173.MCDetectTooltipHeight", "83");
Supprimée : user_pref("CT2260173.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Supprimée : user_pref("CT2260173.MCDetectTooltipWidth", "295");
Supprimée : user_pref("CT2260173.MyStuffEnabledAtInstallation", true);
Supprimée : user_pref("CT2260173.OriginalFirstVersion", "3.5.0.12");
Supprimée : user_pref("CT2260173.RadioIsPodcast", false);
Supprimée : user_pref("CT2260173.RadioLastCheckTime", "Sat Jul 30 2011 09:24:25 GMT+0200");
Supprimée : user_pref("CT2260173.RadioLastUpdateIPServer", "3");
Supprimée : user_pref("CT2260173.RadioLastUpdateServer", "0");
Supprimée : user_pref("CT2260173.RadioMediaID", "9962");
Supprimée : user_pref("CT2260173.RadioMediaType", "Media Player");
Supprimée : user_pref("CT2260173.RadioMenuSelectedID", "EBRadioMenu_CT22601739962");
Supprimée : user_pref("CT2260173.RadioShrinkedFromSetup", false);
Supprimée : user_pref("CT2260173.RadioStationName", "California%20Rock");
Supprimée : user_pref("CT2260173.RadioStationURL", "hxxp://feedlive.net/california.asx");
Supprimée : user_pref("CT2260173.SHRINK_TOOLBAR", 1);
Supprimée : user_pref("CT2260173.SearchEngineBeforeUnload", "Swag Bucks Customized Web Search");
Supprimée : user_pref("CT2260173.SearchFromAddressBarIsInit", true);
Supprimée : user_pref("CT2260173.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT226[...]
Supprimée : user_pref("CT2260173.SearchInNewTabEnabled", true);
Supprimée : user_pref("CT2260173.SearchInNewTabIntervalMM", 1440);
Supprimée : user_pref("CT2260173.SearchInNewTabLastCheckTime", "Sat Jul 30 2011 09:24:02 GMT+0200");
Supprimée : user_pref("CT2260173.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Supprimée : user_pref("CT2260173.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Supprimée : user_pref("CT2260173.SearchProtectorEnabled", true);
Supprimée : user_pref("CT2260173.SearchProtectorToolbarDisabled", true);
Supprimée : user_pref("CT2260173.ServiceMapLastCheckTime", "Sat Jul 30 2011 09:23:58 GMT+0200");
Supprimée : user_pref("CT2260173.SettingsLastCheckTime", "Sat Jul 30 2011 11:36:59 GMT+0200");
Supprimée : user_pref("CT2260173.SettingsLastUpdate", "1311981030");
Supprimée : user_pref("CT2260173.ThirdPartyComponentsInterval", 504);
Supprimée : user_pref("CT2260173.ThirdPartyComponentsLastCheck", "Sat Jul 30 2011 09:23:58 GMT+0200");
Supprimée : user_pref("CT2260173.ThirdPartyComponentsLastUpdate", "1246786978");
Supprimée : user_pref("CT2260173.ToolbarShrinkedFromSetup", false);
Supprimée : user_pref("CT2260173.TrusteLinkUrl", "hxxp://trust.conduit.com/CT2260173");
Supprimée : user_pref("CT2260173.TrustedApiDomains", "conduit.com,conduit-hosting.com,conduit-services.com,clien[...]
Supprimée : user_pref("CT2260173.UserID", "UN97879296295521195");
Supprimée : user_pref("CT2260173.ValidationData_Search", 1);
Supprimée : user_pref("CT2260173.ValidationData_Toolbar", 2);
Supprimée : user_pref("CT2260173.WeatherNetwork", "");
Supprimée : user_pref("CT2260173.WeatherPollDate", "Sat Jul 30 2011 12:24:26 GMT+0200");
Supprimée : user_pref("CT2260173.WeatherUnit", "C");
Supprimée : user_pref("CT2260173.alertChannelId", "657446");
Supprimée : user_pref("CT2260173.components.1000034", true);
Supprimée : user_pref("CT2260173.components.1000082", true);
Supprimée : user_pref("CT2260173.components.1000234", true);
Supprimée : user_pref("CT2260173.generalConfigFromLogin", "{\"ApiMaxAlerts\":\"12\",\"SocialDomains\":\"social.c[...]
Supprimée : user_pref("CT2260173.globalFirstTimeInfoLastCheckTime", "Sat Jul 30 2011 09:23:59 GMT+0200");
Supprimée : user_pref("CT2260173.homepageProtectorEnableByLogin", true);
Supprimée : user_pref("CT2260173.initDone", true);
Supprimée : user_pref("CT2260173.isFirstRadioInstallation", false);
Supprimée : user_pref("CT2260173.myStuffEnabled", true);
Supprimée : user_pref("CT2260173.myStuffPublihserMinWidth", 400);
Supprimée : user_pref("CT2260173.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Supprimée : user_pref("CT2260173.myStuffServiceIntervalMM", 1440);
Supprimée : user_pref("CT2260173.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Supprimée : user_pref("CT2260173.searchProtectorDialogDelayInSec", 10);
Supprimée : user_pref("CT2260173.searchProtectorEnableByLogin", true);
Supprimée : user_pref("CT2260173.testingCtid", "");
Supprimée : user_pref("CT2260173.toolbarAppMetaDataLastCheckTime", "Sat Jul 30 2011 09:24:00 GMT+0200");
Supprimée : user_pref("CT2260173.toolbarContextMenuLastCheckTime", "Sat Jul 30 2011 09:24:03 GMT+0200");
Supprimée : user_pref("CT2260173.usagesFlag", 2);
Supprimée : user_pref("CommunityToolbar.ConduitSearchList", "Swag Bucks Customized Web Search");
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/657446/653307/FR", "\"0\"")[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2260173", [...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.5.[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2260173",[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.conduit-services.com/?ctid=CT2260173&octid=[...]
Supprimée : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634[...]
Supprimée : user_pref("CommunityToolbar.LatestLibsPath", "file:///C:\Users\philippe\AppData\Roaming\Mozilla[...]
Supprimée : user_pref("CommunityToolbar.LatestToolbarVersionInstalled", "3.5.0.12");
Supprimée : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "");
Supprimée : user_pref("CommunityToolbar.ToolbarsList", "CT2260173");
Supprimée : user_pref("CommunityToolbar.ToolbarsList2", "CT2260173");
Supprimée : user_pref("CommunityToolbar.ToolbarsList4", "CT2260173");
Supprimée : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sat Jul 30 2011 09:24:02 GMT+0200");
Supprimée : user_pref("CommunityToolbar.globalUserId", "f37847d7-5d30-4f60-b6b0-ba1d54154311");
Supprimée : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true);
Supprimée : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2260173");
Supprimée : user_pref("CommunityToolbar.notifications.alertDialogsGetterLastCheckTime", "Sat Jul 30 2011 09:24:0[...]
Supprimée : user_pref("CommunityToolbar.notifications.alertEnabled", true);
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoInterval", 1440);
Supprimée : user_pref("CommunityToolbar.notifications.alertInfoLastCheckTime", "Sat Jul 30 2011 10:24:11 GMT+020[...]
Supprimée : user_pref("CommunityToolbar.notifications.clientsServerUrl", "hxxp://alert.client.conduit.com");
Supprimée : user_pref("CommunityToolbar.notifications.locale", "en");
Supprimée : user_pref("CommunityToolbar.notifications.loginIntervalMin", 1440);
Supprimée : user_pref("CommunityToolbar.notifications.loginLastCheckTime", "Sat Jul 30 2011 09:23:58 GMT+0200");
Supprimée : user_pref("CommunityToolbar.notifications.loginLastUpdateTime", "1305622559");
Supprimée : user_pref("CommunityToolbar.notifications.messageShowTimeSec", 20);
Supprimée : user_pref("CommunityToolbar.notifications.servicesServerUrl", "hxxp://alert.services.conduit.com");
Supprimée : user_pref("CommunityToolbar.notifications.showTrayIcon", false);
Supprimée : user_pref("CommunityToolbar.notifications.userCloseIntervalMin", 300);
Supprimée : user_pref("CommunityToolbar.notifications.userId", "ca147b44-3cae-42c7-b9c7-ae9880ee8fac");
Supprimée : user_pref("browser.search.defaultthis.engineName", "Swag Bucks Customized Web Search");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2260173&Sea[...]
Supprimée : user_pref("extensions.BabylonToolbar.admin", false);
Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar.babTrack", "affID=109130");
Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 21);
Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");
Supprimée : user_pref("extensions.BabylonToolbar.dfltSrch", true);
Supprimée : user_pref("extensions.BabylonToolbar.hmpg", true);
Supprimée : user_pref("extensions.BabylonToolbar.id", "8459623e000000000000002185968918");
Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15332");
Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar.keyWordUrl", "hxxp://search.babylon.com/?AF=109130&babsrc=adbar[...]
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 21);
Supprimée : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.5.3.170:21:07");
Supprimée : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "9.0");
Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar.newTabUrl", "hxxp://search.babylon.com/?babsrc=NT_FFUP");
Supprimée : user_pref("extensions.BabylonToolbar.noFFXTlbr", false);
Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar.propectorlck", 65715654);
Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 0);
Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
Supprimée : user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar.ptch_0717", true);
Supprimée : user_pref("extensions.BabylonToolbar.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar.vrsnTs", "1.5.3.170:21:07");
Supprimée : user_pref("extensions.BabylonToolbar.vrsni", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=109130");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "8459623e000000000000002185968918");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "8459623e000000000000002185968918");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15332");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", false);
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "base");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.170:21:07");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Supprimée : user_pref("extensions.enabledAddons", "ffxtlbr@babylon.com:1.2.0,{20a82645-c095-46ed-80e3-0882576053[...]
Supprimée : user_pref("keyword.URL", "hxxp://search.babylon.com/?AF=109130&babsrc=adbartrp&mntrId=8459623e000000[...]

-\ Google Chrome v16.0.912.75

Fichier : C:\Users\philippe\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée :       "icon_url": "hxxp://www.babylon.com/favicon.ico",
Supprimée :       "keyword": "babylon.com",
Supprimée :       "name": "Search the web (Babylon)",
Supprimée :       "search_url": "hxxp://search.babylon.com/?q={searchTerms}&AF=109130&babsrc=SP_ss&mntrId=845962[...]
Supprimée :       "host_referral_list": [ 2, [ "hxxp://0.166.channel.facebook.com/", [ "hxxp://0.166.channel.fac[...]
Supprimée :       "startup_list": [ 1, "hxxp://search.babylon.com/" ]
Supprimée :    "homepage": "hxxp://search.babylon.com/?AF=109130&babsrc=HP_ss&mntrId=8459623e0000000000000021859[...]

*************************

AdwCleaner[S1].txt - [25109 octets] - [21/01/2012 16:43:02]

*************************

Dossier Temporaire : 64 dossier(s) et 149 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [25333 octets] ##########

robno · Answer

Rapport de malware:
Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.21.01

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 8.0.6001.19048
philippe :: PC-DE-PHILIPPE [administrateur]

Protection: Activé

21/01/2012 17:00:49
mbam-log-2012-01-21 (17-00-49).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 181430
Temps écoulé: 9 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winupdater (Trojan.Agent) -> Données: C:\Windupdt\winupdate.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Java (Trojan.Agent) -> Données: C:\Users\philippe\AppData\Roaming\Temp\Explorer.exe -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|System Driver Component (Trojan.Agent) -> Données: "C:\Windows\system32\drvhost.exe" -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 9
C:\Windupdt\winupdate.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\philippe\AppData\Roaming\Temp\Explorer.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\syshost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\philippe\Local Settings\Temporary Internet Files\Content.IE5\RE2TZZAJ\wind[1].exe (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\drvhost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\SysWOW64\drvhost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\philippe\AppData\Roaming\logs.dat (Bifrose.Trace) -> Mis en quarantaine et supprimé avec succès.
C:\Users\philippe\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
C:\Users\philippe\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

(fin)

robno · Answer

UpPpPpPpP

Utilisateur anonyme · Answer

Re

Ce comportement ne sert à rien.(UpPpPpPpP)

Tu peux le constater ;-)

Poste moi un nouveau rapport ZHPDiag

Merci

@+

robno · Answer

Voila: 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120121_f7u15t135v13

Utilisateur anonyme · Answer

Bonjour


Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


O4 - HKLM\..\Wow6432Node\Run: [IMBooster] C:\Program Files (x86)\Iminent\IMBooster\imbooster.exe (.not file.)     
O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- {AF2D5B54-36DE-471E-B9C8-58E4B2B951C6}     
[HKLM\Software\Mircrosoft]     
O43 - CFD: 9/28/2011 - 6:18:26 PM - [12.783] ----D- C:\Program Files (x86)\Iminent     
[MD5.EFF824845DF79DA93E9D1A6A61E85F30] [SPRF][5/27/2011] (.p6CNw2n4J - Ly4a5NFw3.) -- C:\Users\philippe\AppData\Roaming\drvhost.exe   [1114112] 
[MD5.185B44E7D5EBF81009B71A0201A3DE1C] [SPRF][1/21/2012] (...) -- C:\Users\philippe\AppData\Roaming\logs.dat   [2457]     
O87 - FAEL: "{647A5645-0EBA-4724-A485-C048A7C03026}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\Iminent\IMBooster\IMBooster.exe (.not file.)     
O87 - FAEL: "{1544277A-8F4C-409C-986B-578349080B8C}" |Out - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\Iminent\IMBooster\IMBooster.exe (.not file.)     
O87 - FAEL: "{CDCA3E8D-A529-40EA-A7EF-4137A44E503D}" | In - Private - P6 - TRUE | .(.Iminent - Iminent Multimedia Server.) -- C:\Program Files (x86)\Iminent\MMServer\Iminent.MMServer.exe     
O87 - FAEL: "{E1F2CC06-0B52-4132-8455-2A4E41CA48FD}" | Out - Private - P6 - TRUE | .(.Iminent - Iminent Multimedia Server.) -- C:\Program Files (x86)\Iminent\MMServer\Iminent.MMServer.exe     
[HKLM\Software\WOW6432Node\Classes\escort.escrtBtn.1] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]     
C:\Program Files (x86)\Iminent     
O4 - HKCU\..\Run: [PlayNC Launcher] Clé orpheline 
O4 - HKCU\..\Run: [fsm] Clé orpheline 
O4 - HKLM\..\Wow6432Node\Run: [eRecoveryService] Clé orpheline 
O4 - HKLM\..\Wow6432Node\Run: [NPSStartup] Clé orpheline 
[MD5.00000000000000000000000000000000] [APT] [{57C71CAF-AF44-4430-82B0-17E566825C73}] (...) -- C:\Users\philippe\Desktop\SetupCasino.exe (.not file.) 
O3 - Toolbar: DAEMON Tools Toolbar [64Bits] - {32099AAC-C132-4136-9E9A-4E364A424E17} . (...) -- C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll     
O43 - CFD: 4/24/2009 - 9:12:26 AM - [0.018] ----D- C:\Users\philippe\AppData\Roaming	eamspeak2     
O43 - CFD: 11/7/2009 - 9:28:08 AM - [0.001] ----D- C:\Program Files (x86)\DAEMON Tools Toolbar     
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1] 
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}     
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}     
C:\Program Files (x86)\DAEMON Tools Toolbar     
M2 - MFEP: prefs.js [philippe - e7xsxu1k.default\{8bdea9d6-6f62-45eb-8ee9-8a81af0d2f94}] [] Swag Bucks Community Toolbar v3.9.0.3 (.Conduit Ltd..) 
[MD5.070BE10BC43B7DF7DBA87F74D1FA0DB2] - (.Pas de propriétaire - Windows Live Messenger.) -- C:\install\svschost.exe   [966656] [PID.132] 
O4 - HKCU\..\Run: [Winup] . (.Pas de propriétaire - Windows Live Messenger.) -- C:\install\svschost.exe 
FirewallRAZ
Emptytemp

--------------------------------------------------------------------------------------------
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »
. 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

*Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

*Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur le bouton « GO » pour lancer le nettoyage, 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 



A+

robno · Answer

Voila 
Rapport de ZHPFix 1.12.3378 par Nicolas Coolman, Update du 10/01/2011 
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-1-22-2012-11-35-19 AM.txt 
Run by philippe at 1/22/2012 11:35:16 AM 
Windows Vista Home Premium Edition, 64-bit Service Pack 2 (Build 6002) 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Web site : http://nicolascoolman.skyrock.com/ 

========== Logiciel(s) ========== 
ABSENT Software Key: {AF2D5B54-36DE-471E-B9C8-58E4B2B951C6} 

========== Processus mémoire ========== 
SUPPRIME Memory Process: C:\Users\philippe\AppData\Roaming\drvhost.exe 
SUPPRIME Reboot Memory Process: C:\install\svschost.exe 

========== Clé(s) du Registre ========== 
ABSENT Key: HKLM\Software\Mircrosoft 
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\escort.escrtBtn.1 
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0} 
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0} 
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4} 
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A} 
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Ask Toolbar_is1 

========== Valeur(s) du Registre ========== 
SUPPRIME RunValue: IMBooster 
SUPPRIME {647A5645-0EBA-4724-A485-C048A7C03026} 
SUPPRIME {1544277A-8F4C-409C-986B-578349080B8C} 
SUPPRIME {CDCA3E8D-A529-40EA-A7EF-4137A44E503D} 
SUPPRIME {E1F2CC06-0B52-4132-8455-2A4E41CA48FD} 
SUPPRIME RunValue: PlayNC Launcher 
SUPPRIME RunValue: fsm 
SUPPRIME RunValue: eRecoveryService 
SUPPRIME RunValue: NPSStartup 
SUPPRIME Toolbar: {32099AAC-C132-4136-9E9A-4E364A424E17} 
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17} 
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} 
SUPPRIME RunValue: Winup 
SUPPRIME FirewallRaz (SP) : C:\Users\philippe\Desktop\MicroSoft Point Generator.exe 
ABSENT Valeur Domain Profile: FirewallRaz :  
SUPPRIME FirewallRaz (Public) : {FACC49AB-825B-424B-837D-9545F5F44F52} 
SUPPRIME FirewallRaz (Public) : {E6A5B7D9-3668-4FE6-BB74-EF794A9DB814} 
SUPPRIME FirewallRaz (None) : {48C7BD76-87BF-4B24-900E-459448468B92} 
SUPPRIME FirewallRaz (Private) : {46676935-1942-4FAE-BBFF-DD87DC9FC7AA} 
SUPPRIME FirewallRaz (Private) : {EC3E6EF7-0A8F-4059-A222-536B120D9F37} 
SUPPRIME FirewallRaz (Private) : {EC682887-6A01-4BF3-8A29-E460C57993AA} 
SUPPRIME FirewallRaz (Private) : {1FE0766C-D237-4E47-B96F-E39643253965} 
SUPPRIME FirewallRaz (Public) : {1ABBC6D2-D83C-402E-9052-2318AA9E65D4} 
SUPPRIME FirewallRaz (Public) : {9FE1A92C-B874-45E7-83CA-D4A908F5CB38} 
SUPPRIME FirewallRaz (Public) : {2E12BD7A-EE66-4132-B72B-2140491A6C62} 
SUPPRIME FirewallRaz (Public) : {6906B788-07CF-4D33-95ED-45BB82C3CB71} 
SUPPRIME FirewallRaz (Public) : {6F5F7041-6A3B-4F96-A394-73323008F9E7} 
SUPPRIME FirewallRaz (Public) : {7939028B-5A7C-4467-A6C7-762F92E6E35A} 

========== Dossier(s) ========== 
SUPPRIME Folder: C:\Program Files (x86)\Iminent 
SUPPRIME Folder: C:\Users\philippe\AppData\Roaming	eamspeak2 
SUPPRIME Folder: C:\Program Files (x86)\DAEMON Tools Toolbar 
SUPPRIME Folder: C:\Users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\e7xsxu1k.default\extensions\{8bdea9d6-6f62-45eb-8ee9-8a81af0d2f94} 
SUPPRIME Temporaires Windows: : 71 

========== Fichier(s) ========== 
ABSENT File: c:\program files (x86)\iminent\imbooster\imbooster.exe 
SUPPRIME File***: c:\users\philippe\appdataoaming\drvhost.exe 
SUPPRIME File: C:\Users\philippe\AppData\Roaming\logs.dat 
SUPPRIME File***: c:\users\philippe\appdataoaming\logs.dat 
ABSENT Folder/File: c:\program files (x86)\iminent 
SUPPRIME Reboot c:\install\svschost.exe 
SUPPRIME Temporaires Windows: : 208 

========== Tache planifiée ========== 
SUPPRIME Task: {57C71CAF-AF44-4430-82B0-17E566825C73} 


========== Récapitulatif ========== 
2 : Processus mémoire 
7 : Clé(s) du Registre 
28 : Valeur(s) du Registre 
5 : Dossier(s) 
7 : Fichier(s) 
1 : Logiciel(s) 
1 : Tache planifiée 


End of clean in 49mn AMs 

========== Chemin de fichier rapport ========== 
C:\ZHP\ZHPFix[R1].txt - 1/22/2012 11:35:16 AM [4242] 



ps: a chaque fois que je redémarre l'ordi j'ai 35 mises a jours!!

Utilisateur anonyme · Answer

Re


Poste moi un nouveau rapport ZHPDiag.

@+

robno · Answer

Voila:

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120122_k11x5q7m11h15

Utilisateur anonyme · Answer

Re

1)Il te faut faire de la place sur C

System drive C: has 21 GB (7%) free of 290 GB 

Un minimum de 10% est nécessaire au bon fonctionnement de Windows


2)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


3)Vide la quarantaine de Malwaresbytes.


Tiens moi au courant ;merci

@+

robno · Answer

Voila c'est fait!

Utilisateur anonyme · Answer

Re

Si tu le dis;vu que tu es pressé.

On va aller au plus vite.

1) Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 


2)Tu disposes de Ccleaner;met le à jour et procède au nettoyage fichiers et base de registre


3)Active ta restauration.
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista


Met ce sujet en résolu une fois tout fait et bien sur si tu n'as plus de problèmes.

@+

robno · Answer

Voila le rapport, je passe a ccleaner maintenant
# DelFix v8.7 - Rapport créé le 22/01/2012 à 13:55:39
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
# Nom d'utilisateur : philippe - PC-DE-PHILIPPE (Administrateur)
# Exécuté depuis : C:\Users\philippe\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Non Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Program Files (x86)\SEAF

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\TCleaner.txt
Supprimé : C:\Users\philippe\Downloads\adwcleaner.exe
Supprimé : C:\Users\philippe\Downloads\JavaRa.zip
Supprimé : C:\Users\philippe\Downloads\RSIT(2).exe
Supprimé : C:\Users\philippe\Downloads\SEAF.exe
Supprimé : C:\Users\philippe\Downloads\ToolsCleaner2.exe
Supprimé : C:\Users\philippe\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\SEAF
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1440 octets] - [22/01/2012 13:55:39]

########## EOF - C:\DelFix[S1].txt - [1564 octets] ##########

robno · Answer

voila j'ai tous fais c'est terminer?

robno · Answer

J'ai refait une analyse malware est voici le rapport :
Il trouve 3 fichiers infecter a chaque fois les memes!!
Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.21.02

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 8.0.6001.19048
philippe :: PC-DE-PHILIPPE [administrateur]

Protection: Activé

22/01/2012 14:37:20
mbam-log-2012-01-22 (14-37-20).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 177738
Temps écoulé: 4 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Users\philippe\AppData\Roaming\logs.dat (Bifrose.Trace) -> Mis en quarantaine et supprimé avec succès.

Rogue activate windows

30 réponses

Newsletters