aide pour savoir si pc infecté? Résolu/Fermé

Question

Bonjour, 

Ma fille a son portable depuis un an et depuis quelques temps, il a détecté un cheval de troie et 2 malwares... Je viens de regarder un peu et elle avait des tas de toolbars... dont babylon, elle a installé beaucoup de programmes que je ne connais pas et regarde beaucoup de streaming. Voilà les 2 rapports que j'ai :


Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.21.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Prêt-à-Porter Saphir :: PRÊT-À-PORTERSA [administrateur]

21/01/2012 11:21:33
mbam-log-2012-01-21 (12-48-15).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 440999
Temps écoulé: 1 heure(s), 22 minute(s), 51 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Prêt-à-Porter Saphir\Downloads\SoftonicDownloader_pour_magix-video-deluxe.exe (PUP.BundleOffer.Downloader.S) -> Aucune action effectuée.
C:\Users\Prêt-à-Porter Saphir\Downloads\SoftonicDownloader_pour_sony-vegas.exe (PUP.BundleOffer.Downloader.S) -> Aucune action effectuée.

(fin)




Avira AntiVir Personal
Date de création du fichier de rapport : samedi 21 janvier 2012  11:33

La recherche porte sur 3205182 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows 7 x64
Version de Windows      : (Service Pack 1)  [6.1.7601]
Mode Boot               : Démarré normalement
Identifiant             : Système
Nom de l'ordinateur     : PRÊT-À-PORTERSA

Informations de version :
BUILD.DAT               : 10.2.0.152     35934 Bytes  03/11/2011 17:29:00
AVSCAN.EXE              : 10.3.0.7      484008 Bytes  30/08/2011 19:53:43
AVSCAN.DLL              : 10.0.5.0       56680 Bytes  30/08/2011 19:53:43
LUKE.DLL                : 10.3.0.5       45416 Bytes  30/08/2011 19:53:44
LUKERES.DLL             : 10.0.0.0       13672 Bytes  17/08/2010 12:39:11
AVSCPLR.DLL             : 10.3.0.7      119656 Bytes  30/08/2011 19:53:45
AVREG.DLL               : 10.3.0.9       88833 Bytes  30/08/2011 19:53:45
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 09:05:36
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 20:01:35
VBASE002.VDF            : 7.11.19.170 14374912 Bytes  20/12/2011 18:02:53
VBASE003.VDF            : 7.11.19.171     2048 Bytes  20/12/2011 18:02:53
VBASE004.VDF            : 7.11.19.172     2048 Bytes  20/12/2011 18:02:54
VBASE005.VDF            : 7.11.19.173     2048 Bytes  20/12/2011 18:02:54
VBASE006.VDF            : 7.11.19.174     2048 Bytes  20/12/2011 18:02:54
VBASE007.VDF            : 7.11.19.175     2048 Bytes  20/12/2011 18:02:54
VBASE008.VDF            : 7.11.19.176     2048 Bytes  20/12/2011 18:02:54
VBASE009.VDF            : 7.11.19.177     2048 Bytes  20/12/2011 18:02:54
VBASE010.VDF            : 7.11.19.178     2048 Bytes  20/12/2011 18:02:54
VBASE011.VDF            : 7.11.19.179     2048 Bytes  20/12/2011 18:02:54
VBASE012.VDF            : 7.11.19.180     2048 Bytes  20/12/2011 18:02:54
VBASE013.VDF            : 7.11.19.217   182784 Bytes  22/12/2011 20:16:00
VBASE014.VDF            : 7.11.19.255   148480 Bytes  24/12/2011 23:20:25
VBASE015.VDF            : 7.11.20.29    164352 Bytes  27/12/2011 20:47:08
VBASE016.VDF            : 7.11.20.70    180224 Bytes  29/12/2011 17:36:38
VBASE017.VDF            : 7.11.20.102   240640 Bytes  02/01/2012 20:10:37
VBASE018.VDF            : 7.11.20.139   164864 Bytes  04/01/2012 17:33:37
VBASE019.VDF            : 7.11.20.178   167424 Bytes  06/01/2012 19:25:20
VBASE020.VDF            : 7.11.20.207   230400 Bytes  10/01/2012 17:40:06
VBASE021.VDF            : 7.11.20.236   150528 Bytes  11/01/2012 21:38:55
VBASE022.VDF            : 7.11.21.13    135168 Bytes  13/01/2012 18:19:26
VBASE023.VDF            : 7.11.21.40    163840 Bytes  16/01/2012 17:33:35
VBASE024.VDF            : 7.11.21.65   1001472 Bytes  17/01/2012 17:34:46
VBASE025.VDF            : 7.11.21.98    487424 Bytes  19/01/2012 10:14:03
VBASE026.VDF            : 7.11.21.99      2048 Bytes  19/01/2012 10:14:04
VBASE027.VDF            : 7.11.21.100     2048 Bytes  19/01/2012 10:14:04
VBASE028.VDF            : 7.11.21.101     2048 Bytes  19/01/2012 10:14:05
VBASE029.VDF            : 7.11.21.102     2048 Bytes  19/01/2012 10:14:05
VBASE030.VDF            : 7.11.21.103     2048 Bytes  19/01/2012 10:14:05
VBASE031.VDF            : 7.11.21.119   116224 Bytes  20/01/2012 10:14:06
Version du moteur       : 8.2.8.34  
AEVDF.DLL               : 8.1.2.2       106868 Bytes  26/10/2011 10:10:38
AESCRIPT.DLL            : 8.1.4.1       434553 Bytes  21/01/2012 10:14:13
AESCN.DLL               : 8.1.8.1       127348 Bytes  21/01/2012 10:14:12
AESBX.DLL               : 8.2.4.5       434549 Bytes  01/12/2011 18:10:29
AERDL.DLL               : 8.1.9.15      639348 Bytes  10/09/2011 16:51:55
AEPACK.DLL              : 8.2.16.1      799094 Bytes  17/01/2012 17:35:03
AEOFFICE.DLL            : 8.1.2.25      201084 Bytes  30/12/2011 19:12:21
AEHEUR.DLL              : 8.1.3.19     4309367 Bytes  21/01/2012 10:14:12
AEHELP.DLL              : 8.1.19.0      254327 Bytes  21/01/2012 10:14:06
AEGEN.DLL               : 8.1.5.17      405877 Bytes  09/12/2011 18:15:35
AEEMU.DLL               : 8.1.3.0       393589 Bytes  24/12/2010 20:00:51
AECORE.DLL              : 8.1.25.2      201079 Bytes  21/01/2012 10:14:06
AEBB.DLL                : 8.1.1.0        53618 Bytes  17/08/2010 12:38:45
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  17/08/2010 12:38:56
AVPREF.DLL              : 10.0.3.2       44904 Bytes  30/08/2011 19:53:43
AVREP.DLL               : 10.0.0.10     174120 Bytes  27/05/2011 11:38:04
AVARKT.DLL              : 10.0.26.1     255336 Bytes  30/08/2011 19:53:43
AVEVTLOG.DLL            : 10.0.0.9      203112 Bytes  30/08/2011 19:53:43
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  17/06/2010 14:28:02
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  17/08/2010 12:38:56
NETNT.DLL               : 10.0.0.0       11624 Bytes  17/06/2010 14:28:01
RCIMAGE.DLL             : 10.0.0.35    2589544 Bytes  30/08/2011 19:53:43
RCTEXT.DLL              : 10.0.64.0     100712 Bytes  30/08/2011 19:53:43

Configuration pour la recherche actuelle :
Nom de la tâche...............................: avguard_async_scan
Fichier de configuration......................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_4f3f2b75\guard_slideup.avp
Documentation.................................: par défaut
Action principale.............................: réparer
Action secondaire.............................: quarantaine
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: arrêt
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: arrêt
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: intégral

Début de la recherche : samedi 21 janvier 2012  11:33

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GoogleToolbarUser_32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mbam.exe' - '1' module(s) sont contrôlés
Processus de recherche 'IELowutil.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'chrome.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqWmiEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPAdvisor.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Spotify.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'Updater.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuschd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DTLite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LightScribeControlPanel.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HPDrvMntSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ezSharedSvcHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\Program Files (x86)\FoxTabPDFConverter\Uninstall\Uninstall.exe'
C:\Program Files (x86)\FoxTabPDFConverter\Uninstall\Uninstall.exe
  [RESULTAT]  Contient le cheval de Troie TR/Offend.kdv.486375
  [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '49e23e21.qua' !


Fin de la recherche : samedi 21 janvier 2012  11:33
Temps nécessaire: 00:07 Minute(s)

La recherche a été effectuée intégralement

      0 Les répertoires ont été contrôlés
     33 Des fichiers ont été contrôlés
      1 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      1 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
     32 Fichiers non infectés
      0 Les archives ont été contrôlées
      0 Avertissements
      1 Consignes

Merci beaucoup pour votre aide!!!
J'ai créé un disque de réparation (mais seulement aujourd'hui), est ce qu'il est valable même si le pc est infecté?

Configuration: Windows 7 / Safari 535.7

Fish66 · Answer

Salut,
1/
Télécharge AdwCleaner (merci à Xplode) 
Lance AdwCleaner
Clique sur le bouton [ Suppression ] 
Patiente... 
Poste le rapport qui apparait en fin de recherche. 
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

2/ Ensuite

* Télécharge de AD-Remover sur ton Bureau. 
http://security-domain.be/download/AD-Remover.html

/!\ Ferme toutes applications en cours /!\ 

- Double  sur l'icône Ad-remover située sur ton Bureau. 
-Pour vista/Seven : clique avec le bouton droit de la souris  et choisis « exécuter en tant qu'administrateur » 
- Sur la page, clique sur le bouton « chercher »
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

@+

lilium6 · Answer

Bonjour,

Merci de ton aide

Voici le résultat deAdwcleaner : 


# AdwCleaner v1.407 - Rapport créé le 24/01/2012 à 16:17:51
# Mis à jour le 18/01/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Prêt-à-Porter Saphir - PRÊT-À-PORTERSA (Administrateur)
# Exécuté depuis : C:\Users\Prêt-à-Porter Saphir\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Ask
Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\Users\Prêt-à-Porter Saphir\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Prêt-à-Porter Saphir\AppData\Local\Babylon
Dossier Supprimé : C:\Users\Prêt-à-Porter Saphir\AppData\LocalLow\BabylonToolbar
Dossier Supprimé : C:\Users\Prêt-à-Porter Saphir\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Prêt-à-Porter Saphir\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\IncrediMail_MediaBar_2
Dossier Supprimé : C:\Program Files (x86)\Yontoo Layers Runtime

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2724386
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Babylon
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\IncrediMail_MediaBar_2
Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4a99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49dd-99D7-DC866BE87DBC}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IncrediMail_MediaBar_2 Toolbar
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{30F9B915-B755-4826-820B-08FBA6BD249D}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]

***** [Registre (x64)] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7601.17514

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://search.babylon.com/?babsrc=NT_ss&affID=100489&mntrId=140b159b000000000000002682a04020 --> hxxp://www.google.fr

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Prêt-à-Porter Saphir\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée :       "host_referral_list": [ 2, [ "hxxp://0.110.channel.facebook.com/", [ "hxxp://0.110.channel.fac[...]

*************************

AdwCleaner[S1].txt - [5758 octets] - [24/01/2012 16:17:51]

*************************

Dossier Temporaire : 6 dossier(s) et 25 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [5979 octets] ##########


Je passe à la suite...

lilium6 · Answer

Résultat AD-remover:  


======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 16:23:41 le 24/01/2012, Mode normal

Microsoft Windows 7 Édition Familiale Premium  Service Pack 1 (X64) 
Prêt-à-Porter Saphir@PRÊT-À-PORTERSA (Hewlett-Packard HP G62 Notebook PC) 
 
============== RECHERCHE ==============


Dossier trouvé: C:\ProgramData\PopCap Games

Clé trouvée: HKLM\Software\Classes\CLSID\{90E2618C-89ED-4251-B3A9-60A66D5E9187}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90E2618C-89ED-4251-B3A9-60A66D5E9187}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{90E2618C-89ED-4251-B3A9-60A66D5E9187}
Clé trouvée: HKCU\Software\PopCap
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A983DA7C-1828-4074-AC43-6E7123BE6433}


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.7601.17514] ****

HKCU_Main|Default_Page_URL - hxxp://g.uk.msn.com/HPNOT/3
HKCU_Main|Default_Search_URL - hxxp://www.google.com/ie
HKCU_Main|Search bar - hxxp://www.google.com/ie
HKCU_Main|Search Page - hxxp://www.google.com
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Page_URL - hxxp://g.uk.msn.com/HPNOT/3
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://g.uk.msn.com/HPNOT/3
AboutUrls|Tabs - hxxp://www.google.fr
HKLM_URLSearchHooks|{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} (x)
HKCU_SearchScopes\{77D5D419-1642-45B6-9CBD-62E7E9599F13} - "?" (?)
HKCU_ElevationPolicy\{1024F1BE-76DC-40d5-AB98-664A4185E5FA} - C:\Users\Prêt-à-Porter Saphir\AppData\Local\Facebook\Video\Skype\FacebookVideoCalling.exe (Skype Limited)
HKCU_ElevationPolicy\{5C0D11B8-C5F6-4be3-AD2C-2B1A3EB94AB6} - C:\Users\Prêt-à-Porter Saphir\AppData\Roaming\Spotify\spotify.exe (Spotify Ltd)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{1024F1BE-76DC-40d5-AB98-664A4185E5FA} - C:\Users\Prêt-à-Porter Saphir\AppData\Local\Facebook\Video\Skype\FacebookVideoCalling.exe (Skype Limited)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A983DA7C-1828-4074-AC43-6E7123BE6433} - C:\Program Files (x86)\IncrediMail_MediaBar_2\IncrediMail_MediaBar_2ToolbarHelper.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{E0A900DF-9611-4446-86BD-4B1D47E7DB2A} - C:\Program Files (x86)\Google\Chrome\Application\14.0.835.202\chrome_launcher.exe (x)
BHO\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - "Skype Browser Helper" (C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 24/01/2012 16:25:31 (3316 Octet(s)) 

Fin à: 16:26:23, 24/01/2012 
 
============== E.O.F ==============

Fish66 · Answer

Re,

1/
/!\ Ferme toutes applications en cours /!\ 

- Double sur l'icône Ad-remover située sur ton Bureau. 
-Pour vista/Seven : clique avec le bouton droit de la souris et choisis « exécuter en tant qu'administrateur » 
- Sur la page, clique sur le bouton « Nettoyer » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c 

2/ Ensuite
Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://pjjoint.malekal.com/
Si indisponible, tu peux essayer avec l'un de ces liens: 
https://www.terafiles.net/
https://www.casimages.com/

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

Hébergement de rapport sur pjjoint.malekal.com

Rends toi sur pjjoint.malekal.com  
* Clique sur le bouton Parcourir  
* Sélectionne le fichier que tu veux héberger et clique sur Ouvrir  
* Clique sur le bouton Envoyer  
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015  

* Copie le lien dans ta prochaine réponse.   

@+

lilium6 · Answer

Re, 

Rapport AD-remover

https://pjjoint.malekal.com/files.php?id=20120124_o5t14p8g9m13

lilium6 · Answer

Et voilà ZHPdiag

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120124_z11w14v12r10b11

Merci

Fish66 · Answer

Re,
1/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified     
[MD5.00000000000000000000000000000000] [APT] [4772] (...) -- C:\Users\Prêt-à-Porter Saphir\AppData\Local\Temp\launchie.vbs \B (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{42C3A393-1631-4B94-AE1F-93A77BE04ACD}] (...) -- C:\Users\Prêt-à-Porter Saphir\Desktop\Patches\Age2upA.exe (.not file.)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}]     
[HKCU\Software\AppDataLow\Software\IncrediMail_MediaBar_2]    => Toolbar.Conduit
C:\Users\Prêt-à-Porter Saphir\AppData\LocalLow\IncrediMail_MediaBar_2     

FirewallRAZ
EmptyTemp
EmptyFlash




Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

2/
* Lance Malwarebytes' Anti-Malware  
* Fais la mise à jour  
* Clique dans l'onglet  "Recherche"  
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"  
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"  

A la fin de l'analyse, si MBAM n'a rien trouvé :  

* Clique sur OK, le rapport s'ouvre spontanément  

Si des menaces ont été détectées :  

* Clique sur OK puis "Afficher les résultats"  
*Vérifie que toutes les lignes sont cochées 
* Choisis l'option "Supprimer la sélection"  
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"  
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"  

* Copie/colle le rapport dans le prochain message  


Remarque : 
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant  ce fichier puis en l'exécutant.

@+

lilium6 · Answer

Coucou,

Voilà le rapport de ZHPfix : 

https://pjjoint.malekal.com/files.php?id=20120124_p9z11m11y11l11

Je lance la scan Malwarebytes' Anti-Malware et je te le poste après

Merci

lilium6 · Answer

Et voilà la suite :

https://pjjoint.malekal.com/files.php?id=20120124_m6g9u14l11w8

Merci et bonne soirée, je verrais la suite demain

Fish66 · Answer

Re,
* Télécharge le fichier : ZHPFixScript.txt  depuis ce lien : https://pjjoint.malekal.com/files.php?id=20120124_f9u14r6y6s12
* Enregistre le sur le bureau de ton PC                                           
*Lance ZHPFix et clique sur le H (coller les lignes helpers) 
* Fait un glisser/déposer de ZHPFixScript.txt (existant sur ton bureau) dans ZHPFix 
* Clique sur le bouton GO 
* Héberge le rapport et donne le lien
A demain

Bonne nuit

Fish66 · Answer

Re,

* Ouvre un bloc note puis tu copies dedans le contenue de ce document
* Tu nommes ce fichier sous le nom : ZHPFixScript.txt et tu l'enregistres sur le bureau de ton PC
* Lance ZHPFix depuis le bureau et clique sur le H (coller les lignes helpers) 
* Fait un glisser/déposer du fichier : ZHPFixScript.txt
 (existant sur ton bureau) dans ZHPFix 
* Clique sur le bouton GO 
* Héberge le rapport et donne le lien 

==========================

@+

lilium6 · Answer

Voilà :

https://pjjoint.malekal.com/files.php?id=20120125_q15n13k11f15p10

Fish66 · Answer

Re, 

OK.. 
Lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag 

( à héberger)

@+ 

_  _ _ Fish66_ _ _ I''"""""I_ _  membre contributeur sécurité_  _I''"""""I_ _ _  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

lilium6 · Answer

Voici le rapport : 

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120125_n8r5k12j11q5

Fish66 · Answer

Re,
1/
Il nous reste quelques lignes à fixer :

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 



R3 - URLSearchHook: (no name) [64Bits] - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} . (...) (No version) -- (.not file.)    => Toolbar.Conduit
O43 - CFD: 25/01/2012 - 10:42:24 - [0] ----D- C:\Users\Prêt-à-Porter Saphir\AppData\Local\{46EC9333-538A-4F20-9B5B-F499422C4689}
O43 - CFD: 25/01/2012 - 10:42:34 - [0] ----D- C:\Users\Prêt-à-Porter Saphir\AppData\Local\{4E95BA1B-C9B8-41B2-8026-2183BEDB2B98}





Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO

Copie/Colle le rapport à l'écran dans ton prochain message.

2/
Parmi les logiciels de jeux ci-dessous, tu désinstalles celui que tu n'utilises pas :
O42 - Logiciel: FATE - (.WildTangent.) [HKLM] -
O42 - Logiciel: HP Game Console - 
O42 - Logiciel: Mystery P.I. - The Vegas Heist -
O42 - Logiciel: Polar Bowler - (.WildTangent.) 
O42 - Logiciel: Slingo Deluxe - (.WildTangent.) 


3/

Pour la détection des bons pilotes et leur téléchargement :
https://www.touslesdrivers.com/index.php?v_page=29
* Cliquer sur "Lancer la détection" ( en bas de la fenêtre )
accepter le contrôle des actives-x
* Laisser tourner et une page va s'afficher avec des fichiers en bleu
* En cliquant sur le lien , tu vas télécharger les bons drivers
* Relancer une recherche pour finir 

@+

Fish66 · Answer

Re,
Oui, mais avant de désinstaller demande si ta fille aura besoin :-)

En attendant le rapport ZHPFix..

@+

lilium6 · Answer

1/   https://pjjoint.malekal.com/files.php?id=20120125_t8b10i11c5w9


Je vais chercher pour les pilotes et attendre ta réponse pour les jeux. 

A+

Fish66 · Answer

Re, 1/ Concernant les jeux: Tu peux aller : C:\Program file\Microsoft games puis tu supprimes les dossiers des jeux à supprimer ============================== Si tu n'as pas de souci, on peut finaliser : Mise à jour Adobe reader * Télécharge Adobe reader à partir :>>>>Ce lien<<<< en décochant la case : installer McAfee Security Scan Plus (facultatif) * Désinstalle ta version d'adobe par : ajout/suppression de programme * Exécute le fichier téléchargé pour installation en suivant les instructions. Mise à jour de Java: * Tu peux vérifier ta Console Java en cliquant sur ce lien :https://www.java.com/fr/download/uninstalltool.jsp * Installe la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller JavaRa: * Télécharge ce fichier à partir ce lien : http://raproducts.org/click/click.php?id=1 * Décompresse JavaRa sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. =========================================== Updatechecker : Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour =========================================== PurRa (éditeur de JavaRa) : Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: xxxxxxxx bytes transmets juste cette ligne . =========================================== **Nettoyage Suppression des outils de désinfections: * Télécharge Delfix sur ton bureau. * Lance le, tape suppression puis valide * Patiente pendant le scan jusqu'à l'ouverture du rapport. * Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt * Tu peux le desinstaller ===========================================

Défragmentation : :
Défragmente tes disques dur par defraggler      
===========================================    

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim               
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis         
* Avancé et décoche la case Effacer uniquement les fichiers etc....         
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.         
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .         
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/         
Tu peux utiliser Ccleaner une fois par semaine        

===========================================    
Purger les points de restauration système:   

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :   

Windows XP    

Windows Vista    

Windows 7    

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...   

===========================================    
Conseils :       
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules          
complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...         

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.          

3/ Un peu de lecture :        
* Les dangers du Peer-To-Peer, Emule etc..         
* Comment Sécuriser son ordinateur...        
*Pourquoi et comment je me fais infecter   

@+

lilium6 · Answer

Merci, je vais faire tout ça! Par contre je lui ai déjà installé ( il y a 2 ou 3 jours ) ccleaner "normal". Est ce que je peux le garder et faire le scann avec ou est ce que  CCleaner version Slim est autre chose? Le téléchargement de Ccleaner version slim ne démarre pas ( j'ai éssayé sur mon ordi de bureau... et je me retrouve avec une page blanche.

Fish66 · Answer

Re,

Tu as raison, tu peux garder donc CCleaner existant dans ton PC  :-)

@+

lilium6 · Answer

Bonjour,  

Pour Javara, le rapport est vide ( mais j'avais déjà désinstallé les anciennes versions de java!)

Je te poste le reste au fur et à mesure.

lilium6 · Answer

Purera : 

Total space cleaned: 849167830 bytes

lilium6 · Answer

Rapport delfix:

# DelFix v8.7 - Rapport créé le 26/01/2012 à 13:08:47
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Prêt-à-Porter Saphir - PRÊT-À-PORTERSA (Administrateur)
# Exécuté depuis : C:\Users\Prêt-à-Porter Saphir\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\Ad-Remover
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\Ad-Report-SCAN[1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Users\Prêt-à-Porter Saphir\Desktop\AD-R.lnk
Supprimé : C:\Users\Prêt-à-Porter Saphir\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Prêt-à-Porter Saphir\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Prêt-à-Porter Saphir\Desktop\ZHPFixScript.txt
Supprimé : C:\Users\Prêt-à-Porter Saphir\Downloads\adwcleaner.exe
Supprimé : C:\Users\Prêt-à-Porter Saphir\Downloads\JavaRa.zip
Supprimé : C:\Users\Prêt-à-Porter Saphir\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1647 octets] - [26/01/2012 13:08:47]

########## EOF - C:\DelFix[S1].txt - [1771 octets] ##########

lilium6 · Answer

J'ai un petit soucis, Deffragler est pour windows 7 32 bits et j'ai un 64 bits! Je fais quoi?

Fish66 · Answer

Re,

Bon surf et si tu n'as pas de souci pense à mettre ton sujet comme résolu

@+

lilium6 · Answer

Re, 

Avec quoi je peux défragmenter?  Et sinon, j'ai créer un disque de réparation système pendant l'infection, est ce que pour toi, il est valable ou je dois en refaire un autre?

Merci beaucoup pour ton aide.

Fish66 · Answer

Re,

* Tu peux défragmenter avec defraggler

* Les fichiers destinés à la réparation de ton windows ne sont pas infectés, par conséquent tu peux garder le CD créé .

@+

Fish66 · Answer

Re,

De rien et bonne soirée  :-)

Aide pour savoir si pc infecté?

28 réponses