Sujet Précédent Sujet Suivant

Indices d' une infection.

phil47ton -  
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonjour,



Après avoir lancé un scan au démarrage d' avast j' ai 4 problème d' archive installateur corrompue ERREUR 42145.

C:\systemvolumeinformation\_restore{6C8E7B52-D81C-4AFE-8CB4-40363E703700}

\RP543\A0215293.exe I> $INSTDIR\$PLUGINSDIR\Alupdade\Alupdatesetup-ln-us.exe

I> Inno0001.bin ERREUR 42145

C:\systemvolumeinformation\_restore{6C8E7B52-D81C-4AFE-8CB4-40363E703700}

\RP543\A0215293.exe I> $INSTDIR\$PLUGINSDIR\Alupdade\Alupdatesetup-ln-us.exe

I> Inno0002.bin ERREUR 42145

C:\systemvolumeinformation\_restore{6C8E7B52-D81C-4AFE-8CB4-40363E703700}

\RP543\A0215294.exe I>wise0038.bin ERREUR 42145

C:\WINDOWS\system\RCDsetup.exe\%SYS%\OCXSETUP.WS4 ERREUR 42145
Pouvez-vous m' aider s'il vous plait?
J' ai fait un rapport hijackthis :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 19:10:15, on 15/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddrnw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1277525263703
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acer Media Server - Acer Inc. - C:\Program Files\Acer\Acer eConsole\MediaServerService.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown owner - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

8 réponses

Réponse 1 / 8
phil47ton
 
Bonsoir,

Oui je sais que j' ai pris du retard sur pas mal de logiciels Il faut que je règle tout ça.

Donc voilà le rapport que tu m' as demandé : http://cjoint.com/?0BqaELvVGnX
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, tu passes adw-cleaner et ad-remover !! et puis tu postes un nouveau zhpdiag

1) passes adw-cleaner mode SUPPRESSION

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



2) passes ad-remover mode NETTOYER

Déactives ton anti-virus et anti-spyware le temps du scan

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Télécharge Ad-Remover sur ton bureau: (Merci à l'équipe TeamXscript)

http://security-domain.be/download/telech.php?id=3

ou

https://www.androidworld.fr/



/!\ Ferme toutes tes applications ouvertes. /!\

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



( Le rapport est sauvegardé sous C:\Ad-report-clean.log )




3) postes un nouveau zhpdiag

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


Fermes ZHPDiag en fin d'analyse.


Pour me le transmettre clique sur ce lien :

https://www.cjoint.com/


Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.


et si problème passe par celui ci : http://threat-rc.com/
ou
http://pjjoint.malekal.com/
0
Réponse 2 / 8
phil47ton
 
Salutations,

Alors pour le 1 voilà mon rapport :

# AdwCleaner v1.409 - Rapport créé le 17/02/2012 à 00:48:31
# Mis à jour le 12/02/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : philippe - ACER-F972F703E0 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\philippe\Bureau\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\philippe\Application Data\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Documents and Settings\philippe\Local Settings\Application Data\AskToolbar
Dossier Supprimé : C:\Documents and Settings\philippe\Local Settings\Application Data\Conduit
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Documents and Settings\philippe\Application Data\Mozilla\Firefox\Profiles\6k146krt.default\Conduit
Fichier Supprimé : C:\Program Files\Mozilla Firefox\.autoreg
Fichier Supprimé : C:\Documents and Settings\philippe\Application Data\Mozilla\Firefox\Profiles\6k146krt.default\searchplugins\Conduit.xml

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2613520
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://start.facemoods.com/?a=ddrnw --> hxxp://www.google.fr
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 --> hxxp://www.google.fr

-\\ Mozilla Firefox v3.6.26 (fr)

Profil : 6k146krt.default
Fichier : C:\Documents and Settings\philippe\Application Data\Mozilla\Firefox\Profiles\6k146krt.default\prefs.js

C:\Documents and Settings\philippe\Application Data\Mozilla\Firefox\Profiles\6k146krt.default\user.js ... Supprimé !

Supprimée : user_pref("CT2613520.AboutPrivacyUrl", "hxxp://www.conduit.com/privacy/Default.aspx");
Supprimée : user_pref("CT2613520.CTID", "ct2613520");
Supprimée : user_pref("CT2613520.CurrentServerDate", "6-3-2011");
Supprimée : user_pref("CT2613520.DialogsAlignMode", "LTR");
Supprimée : user_pref("CT2613520.DownloadReferralCookieData", "");
Supprimée : user_pref("CT2613520.EMailNotifierPollDate", "Sat Mar 05 2011 22:52:16 GMT+0100");
Supprimée : user_pref("CT2613520.FirstServerDate", "5-3-2011");
Supprimée : user_pref("CT2613520.FirstTime", true);
Supprimée : user_pref("CT2613520.FirstTimeFF3", true);
Supprimée : user_pref("CT2613520.FirstTimeSettingsDone", true);
Supprimée : user_pref("CT2613520.FixPageNotFoundErrors", true);
Supprimée : user_pref("CT2613520.GroupingServerCheckInterval", 1440);
Supprimée : user_pref("CT2613520.GroupingServiceUrl", "hxxp://grouping.services.conduit.com/");
Supprimée : user_pref("CT2613520.Initialize", true);
Supprimée : user_pref("CT2613520.InitializeCommonPrefs", true);
Supprimée : user_pref("CT2613520.InstallationAndCookieDataSentCount", 3);
Supprimée : user_pref("CT2613520.InstallationType", "UnknownIntegration");
Supprimée : user_pref("CT2613520.InstalledDate", "Sat Mar 05 2011 20:46:55 GMT+0100");
Supprimée : user_pref("CT2613520.IsGrouping", false);
Supprimée : user_pref("CT2613520.IsMulticommunity", false);
Supprimée : user_pref("CT2613520.IsOpenThankYouPage", false);
Supprimée : user_pref("CT2613520.IsOpenUninstallPage", true);
Supprimée : user_pref("CT2613520.LanguagePackLastCheckTime", "Sat Mar 05 2011 20:47:17 GMT+0100");
Supprimée : user_pref("CT2613520.LanguagePackReloadIntervalMM", 1440);
Supprimée : user_pref("CT2613520.LanguagePackServiceUrl", "hxxp://translation.users.conduit.com/Translation.ashx[...]
Supprimée : user_pref("CT2613520.LastLogin_2.7.1.3", "Sun Mar 06 2011 04:47:26 GMT+0100");
Supprimée : user_pref("CT2613520.LatestVersion", "2.7.1.3");
Supprimée : user_pref("CT2613520.Locale", "fr-fr");
Supprimée : user_pref("CT2613520.LoginCache", 4);
Supprimée : user_pref("CT2613520.MCDetectTooltipHeight", "83");
Supprimée : user_pref("CT2613520.MCDetectTooltipUrl", "hxxp://@EB_INSTALL_LINK@/rank/tooltip/?version=1");
Supprimée : user_pref("CT2613520.MCDetectTooltipWidth", "295");
Supprimée : user_pref("CT2613520.RadioIsPodcast", false);
Supprimée : user_pref("CT2613520.RadioMediaID", "9962");
Supprimée : user_pref("CT2613520.RadioMediaType", "Media Player");
Supprimée : user_pref("CT2613520.RadioMenuSelectedID", "EBRadioMenu_CT26135209962");
Supprimée : user_pref("CT2613520.RadioStationName", "California%20Rock");
Supprimée : user_pref("CT2613520.RadioStationURL", "hxxp://feedlive.net/california.asx");
Supprimée : user_pref("CT2613520.SHRINK_TOOLBAR", 1);
Supprimée : user_pref("CT2613520.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_[...]
Supprimée : user_pref("CT2613520.SearchFromAddressBarIsInit", true);
Supprimée : user_pref("CT2613520.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT261[...]
Supprimée : user_pref("CT2613520.SearchInNewTabEnabled", true);
Supprimée : user_pref("CT2613520.SearchInNewTabIntervalMM", 1440);
Supprimée : user_pref("CT2613520.SearchInNewTabServiceUrl", "hxxp://newtab.conduit-hosting.com/newtab/?ctid=EB_T[...]
Supprimée : user_pref("CT2613520.SearchInNewTabUsageUrl", "hxxp://Usage.Hosting.conduit-services.com/UsageServic[...]
Supprimée : user_pref("CT2613520.SettingsCheckIntervalMin", 120);
Supprimée : user_pref("CT2613520.SettingsLastCheckTime", "Sat Mar 05 2011 20:46:53 GMT+0100");
Supprimée : user_pref("CT2613520.SettingsLastUpdate", "1298200004");
Supprimée : user_pref("CT2613520.ThirdPartyComponentsInterval", 504);
Supprimée : user_pref("CT2613520.ThirdPartyComponentsLastCheck", "Sat Mar 05 2011 20:46:53 GMT+0100");
Supprimée : user_pref("CT2613520.ThirdPartyComponentsLastUpdate", "1255348267");
Supprimée : user_pref("CT2613520.TrusteLinkUrl", "hxxp://trust.conduit.com/EB_ORIGINAL_CTID");
Supprimée : user_pref("CT2613520.UserID", "UN94367941901463742");
Supprimée : user_pref("CT2613520.ValidationData_Toolbar", 1);
Supprimée : user_pref("CT2613520.WeatherNetwork", "");
Supprimée : user_pref("CT2613520.WeatherPollDate", "Sat Mar 05 2011 22:47:18 GMT+0100");
Supprimée : user_pref("CT2613520.WeatherUnit", "C");
Supprimée : user_pref("CT2613520.alertChannelId", "1006317");
Supprimée : user_pref("CT2613520.clientLogIsEnabled", true);
Supprimée : user_pref("CT2613520.clientLogServiceUrl", "hxxp://clientlog.users.conduit.com/ClientDiagnostics.asm[...]
Supprimée : user_pref("CT2613520.components.1000082", true);
Supprimée : user_pref("CT2613520.components.1000234", true);
Supprimée : user_pref("CT2613520.ct2613520.DialogsAlignMode", "LTR");
Supprimée : user_pref("CT2613520.ct2613520.FirstTimeSettingsDone", true);
Supprimée : user_pref("CT2613520.ct2613520.InvalidateCache", false);
Supprimée : user_pref("CT2613520.ct2613520.LanguagePackLastCheckTime", "Sat Mar 05 2011 20:47:17 GMT+0100");
Supprimée : user_pref("CT2613520.ct2613520.Locale", "fr-fr");
Supprimée : user_pref("CT2613520.ct2613520.RadioLastCheckTime", "Sat Mar 05 2011 20:47:16 GMT+0100");
Supprimée : user_pref("CT2613520.ct2613520.RadioLastUpdateIPServer", "3");
Supprimée : user_pref("CT2613520.ct2613520.RadioLastUpdateServer", "0");
Supprimée : user_pref("CT2613520.ct2613520.SearchEngine", "Recherche||hxxp://search.conduit.com/Results.aspx?q=U[...]
Supprimée : user_pref("CT2613520.ct2613520.SearchInNewTabLastCheckTime", "Sat Mar 05 2011 20:47:16 GMT+0100");
Supprimée : user_pref("CT2613520.ct2613520.SettingsCheckIntervalMin", 120);
Supprimée : user_pref("CT2613520.ct2613520.SettingsLastCheckTime", "Sat Mar 05 2011 20:47:15 GMT+0100");
Supprimée : user_pref("CT2613520.ct2613520.SettingsLastUpdate", "1298200004");
Supprimée : user_pref("CT2613520.ct2613520.ThirdPartyComponentsLastCheck", "Sat Mar 05 2011 20:47:15 GMT+0100");
Supprimée : user_pref("CT2613520.ct2613520.ThirdPartyComponentsLastUpdate", "1255348267");
Supprimée : user_pref("CT2613520.myStuffEnabled", true);
Supprimée : user_pref("CT2613520.myStuffPublihserMinWidth", 400);
Supprimée : user_pref("CT2613520.myStuffSearchUrl", "hxxp://Apps.conduit.com/search?q=SEARCH_TERM&SearchSourceOr[...]
Supprimée : user_pref("CT2613520.myStuffServiceIntervalMM", 1440);
Supprimée : user_pref("CT2613520.myStuffServiceUrl", "hxxp://mystuff.conduit-services.com/MyStuffService.ashx?Co[...]
Supprimée : user_pref("CT2613520.uninstallLogServiceUrl", "hxxp://uninstall.users.conduit.com/Uninstall.asmx/Reg[...]
Supprimée : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr[...]
Supprimée : user_pref("CommunityToolbar.ToolbarsList", "CT2613520");
Supprimée : user_pref("CommunityToolbar.ToolbarsList2", "CT2613520");
Supprimée : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sat Mar 05 2011 20:46:57 GMT+0100");
Supprimée : user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2613520");
Supprimée : user_pref("browser.search.defaultthis.engineName", "Protection ZoneAlarm Customized Web Search");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2613520&Sea[...]
Supprimée : user_pref("extensions.facemoods._xpiupdate", true);
Supprimée : user_pref("extensions.facemoods.aflt", "_#wbst");
Supprimée : user_pref("extensions.facemoods.fcmdVrsn", "1.2.7.5.4");
Supprimée : user_pref("extensions.facemoods.first_time", false);
Supprimée : user_pref("extensions.facemoods.id", "_#b45406e65e1843358b6969fb37c4da82");
Supprimée : user_pref("extensions.facemoods.instlDay", "_#15359");
Supprimée : user_pref("extensions.facemoods.prtnrId", "_#facemoods.com");
Supprimée : user_pref("extensions.facemoods.sid", "_#b45406e65e1843358b6969fb37c4da82");
Supprimée : user_pref("extensions.facemoods.uninst", true);
Supprimée : user_pref("extensions.facemoods.update", "_#v1.4.0");
Supprimée : user_pref("extensions.facemoods.vrsn", "_#1.4.17.5");

*************************

AdwCleaner[S1].txt - [305 octets] - [16/02/2012 21:02:06]
AdwCleaner[S2].txt - [10942 octets] - [17/02/2012 00:48:31]

*************************

Dossier Temporaire : 321 dossier(s) et 122 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S2].txt - [11167 octets] ##########
0
Réponse 3 / 8
phil47ton
 
Pour l' étape 2 :
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 01:01:55 le 17/02/2012, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
philippe@ACER-F972F703E0 ( )

============== ACTION(S) ==============

(!) -- Fichiers temporaires supprimés.

============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.6.26 (fr)] ****

HKLM_MozillaPlugins\@checkpoint.com/FFApi (x)

-- C:\Documents and Settings\philippe\Application Data\Mozilla\FireFox\Profiles\6k146krt.default --
Prefs.js - browser.download.dir, C:
Prefs.js - browser.download.lastDir, C:
Prefs.js - browser.search.defaultenginename, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
Prefs.js - browser.startup.homepage_override.buildID, 20111104165243
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.26

========================================

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_Toolbar\ShellBrowser|{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} (x)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
BHO\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - "AcroIEHlprObj Class" (c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\Alwil Software\Avast5\aswWebRepIE.dll)
BHO\{FFFFFEF0-5B30-21D4-945D-000000000000} - "?" (C:\PROGRA~1\STARDO~1\SDIEInt.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 17/02/2012 01:02:01 (641 Octet(s))

L' étape 3 est ici : http://cjoint.com/?0Brb069l5sB

J' ai oublier de signaler un autre problème c' est avec easycleaner une clé qui se trouve ici C:\windows\systèmes32\macromed\Flash\Flash6.ocx
ne peut être supprimée

Merci pour ton aide.
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, perso easycleaner je ne connais que le nom et encore , perso pour nettoyer je préfère ccleaner qui est surement plus souple !!

bon tu fais ce qui suit et on refait un point , merci

1) fais zhpfix comme expliqué

. Copie les lignes suivantes en GRAS entre les deux lignes


__________________________________________________________

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
OPT:O4 - HKLM\..\Run: [SoundMAX] . (.Analog Devices, Inc. - SoundMAX Control Center.) -- C:\Program Files\Analog Devices\SoundMAX\SMax4.exe
OPT:O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
OPT:O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
OPT:O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-2866184300-3537727601-3452753930-1006\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [LaunchApp] Clé orpheline => Orphean Key not necessary
O43 - CFD: 28/04/2010 - 14:29:16 - [3,807] ----D- C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy
O44 - LFC:[MD5.86368DA10E84EF35590A1A4D42C2491D] - 17/02/2012 - 01:02:36 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt [2745]
O44 - LFC:[MD5.3D9239EA1A9906830DBAF44D08D7F012] - 15/02/2012 - 19:43:38 ---A- . (...) -- C:\hijackthis.log [7680] => Fichier de rapport
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486b-A045-B233BD0DA8FC}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}]
SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp



___________________________________________________________________


. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport






2) - DelFix - Option Suppression

Télécharge DelFix (d'Xplode)

Lance le puis sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.



3) passes combofix c'est se qu'il y a de plus puissant


Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

. Télécharge Defogger (de jpshortstuff)sur ton Bureau

. Lance le

Une fenêtre apparait : clique sur "Disable"

. Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"





Tutoriel officiel prends le temps de le regarder : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

et

note bien cette manipe https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix#restore car des fois après combofix la connection internet est déactivée

Télécharge Combofix.exe de sUBs sur ton Bureau,

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Déconnectes toi d'internet et désactives ton antivirus et toutes protection résidente, pour que Combofix puisse s'exécuter normalement.

Doubles clique sur Combofix.exe

Mets le en langue française F

Tape sur la touche 1 (Yes) pour démarrer le scan.

tu ne touches pas au pc pendant qu'il travail sauf pour répondre quand il te le demande.

si il te propose d'installer la console de récuppération accepte cela permet à l'outil de nettoyer certain fichiers système , et de réparrer si besion !!

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

Réactives la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet.

Note : Le rapport se trouve également là : C:\Combofix.txt
0
Réponse 4 / 8
phil47ton
 
Bonsoir,

ZHPFix m' a mis point de restarion introuvable ou un truc du genre durant l' opération demandée.

OPERATION 1

Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-18-02-2012-21-14-39.txt
Run by philippe at 18/02/2012 21:14:39
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486b-A045-B233BD0DA8FC}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: SoundMAX
SUPPRIME RunValue: RemoteControl
SUPPRIME RunValue: PHIME2002ASync
SUPPRIME RunValue: PHIME2002A
SUPPRIME RunValue: CTFMON.EXE
ABSENT RunValue: CTFMON.EXE
SUPPRIME RunValue: LaunchApp
SUPPRIME FirewallRaz (SP) : C:\Program Files\adslTV\adsltv.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\adslTV\VLC\vlc.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Elément(s) de donnée du Registre ==========
SUPPRIME R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Spybot - Search & Destroy
SUPPRIME Flash Cookies: 2264
SUPPRIME Temporaires Windows: : 21

========== Fichier(s) ==========
SUPPRIME File: c:\ad-report-clean[1].txt
SUPPRIME File: c:\hijackthis.log
SUPPRIME Flash Cookies: 1086
SUPPRIME Temporaires Windows: : 35

========== Restauration Système ==========
Point de restauration non crée

========== Récapitulatif ==========
2 : Clé(s) du Registre
10 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Dossier(s)
4 : Fichier(s)
1 : Restauration Système

End of clean in 00mn 44s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 18/02/2012 21:14:39 [1892]

OPERATION 2

# DelFix v8.8 - Rapport créé le 18/02/2012 à 21:22:16
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : philippe - ACER-F972F703E0 (Administrateur)
# Exécuté depuis : C:\delfix.exe
# Option [Suppression]

~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\les-principales-sectes-qui-se-sont-egarees-par-rapport-aux-noms-et-attributs-d-allah-3251122.html
Supprimé : C:\Nombres_Livre.doc
Supprimé : C:\Documents and Settings\philippe\Bureau\AD-R.lnk
Supprimé : C:\Documents and Settings\philippe\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\philippe\Bureau\Copie 2de ZHPDiag.txt
Supprimé : C:\Documents and Settings\philippe\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\philippe\Bureau\ZHPDiag2
Supprimé : C:\Documents and Settings\philippe\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\philippe\Mes documents\Téléchargements\445px-Voynich_manuscript_excerpt.svg.png
Supprimé : C:\Documents and Settings\philippe\Mes documents\Téléchargements\Xavier Hadrot Torne, Universite De Tohoku.htm
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Ad-Remover
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2225 octets] - [18/02/2012 21:22:16]

########## EOF - C:\DelFix[S1].txt - [2349 octets] ##########

OPERATION 3 AVANT CETTE ETAPE J AI RETABLI LES POINTS DE RESTAURATION

ComboFix 12-02-17.02 - philippe 18/02/2012 23:03:21.1.1 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.447.213 [GMT 1:00]
Lancé depuis: c:\documents and settings\philippe\Bureau\ComboFix.exe
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\philippe\Recent\Thumbs.db
c:\documents and settings\philippe\WINDOWS
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-01-18 au 2012-02-18 ))))))))))))))))))))))))))))))))))))
.
.
2012-02-18 20:28 . 2012-02-18 20:28 -------- d-----w- C:\comment-utiliser-combofix2_fichiers
2012-02-18 20:28 . 2012-02-18 20:28 -------- d-----w- C:\comment-utiliser-combofix_fichiers
2012-02-18 20:27 . 2012-02-18 20:27 -------- d-----w- C:\affich-24461025-indices-d-une-infection_fichiers
2012-02-18 20:09 . 2012-02-18 20:09 386555 ----a-w- C:\delfix.exe
2012-02-18 19:57 . 2012-02-18 19:57 -------- d-----w- c:\documents and settings\philippe\Local Settings\Application Data\Sun
2012-02-17 23:09 . 2012-02-17 23:09 -------- d-----w- C:\searchith_fichiers
2012-02-17 22:05 . 2012-02-17 22:05 -------- d-----w- c:\documents and settings\philippe\Local Settings\Application Data\Temp
2012-02-17 21:19 . 2012-02-17 21:17 141312 ----a-w- c:\windows\system32\javacpl.cpl
2012-02-17 21:19 . 2012-02-17 21:17 637848 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-02-17 21:19 . 2012-02-17 21:17 567696 ----a-w- c:\windows\system32\deployJava1.dll
2012-02-17 20:50 . 2012-02-17 20:51 -------- d-----w- c:\program files\Fichiers communs\Adobe
2012-02-17 20:42 . 2012-02-17 20:47 20320648 ----a-w- C:\jre-7u3-windows-i586.exe
2012-02-16 03:59 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\iacenc.dll
2012-02-16 03:59 . 2012-01-11 19:06 3072 ------w- c:\windows\system32\dllcache\iacenc.dll
2012-02-15 22:17 . 2012-02-15 22:18 3903203 ----a-w- C:\ZHPDiag2.exe
2012-02-12 10:09 . 1997-05-12 16:53 314368 ----a-w- c:\windows\IsUninst.exe
2012-02-07 19:50 . 2012-02-07 19:50 -------- d-----w- c:\program files\Risk
2012-02-07 19:49 . 2012-02-07 19:49 836136 ----a-w- C:\risk_pc__le_jeu_de_la_conquete_du_monde_1_6781.exe
2012-02-07 19:34 . 2012-02-07 19:42 96256 ------w- c:\windows\system32\Vb5fr.dll
2012-02-07 19:32 . 2012-02-07 19:32 -------- d-----w- C:\Risk_1.3
2012-02-04 16:19 . 2012-02-04 16:20 -------- d-----w- C:\Trojan Fake Police _ Virus Gendarmerie Nationale violation de la loi française _ malekal's site_fichiers
2012-02-04 07:26 . 2012-02-04 15:43 -------- d-----w- C:\tory
2012-02-03 05:09 . 2012-02-03 05:09 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Google
2012-02-02 10:38 . 2012-02-02 10:38 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Google
2012-02-02 10:34 . 2012-02-02 10:34 -------- d-----w- c:\program files\Google
2012-02-02 10:34 . 2012-02-02 10:38 -------- d-----w- c:\documents and settings\philippe\Local Settings\Application Data\Google
2012-02-02 10:32 . 2012-02-02 10:32 2568952 ----a-w- C:\rcsetup142.exe
2012-01-26 17:14 . 2012-01-26 17:14 -------- d-----w- C:\Toutes les dernières Séries et Mangas en DDL Et en Streaming Sur Multiupload_fichiers
2012-01-23 12:01 . 2012-01-23 12:01 -------- d-----w- C:\topic-804648---MULTI--Urgences--ER----Intgrale--DVDRip--MKV-_fichiers
2012-01-23 09:00 . 2012-01-24 06:59 -------- d-----w- c:\program files\eMule
2012-01-20 08:34 . 2012-01-25 01:20 -------- d-----w- c:\program files\JDownloader
2012-01-20 08:34 . 2012-01-20 08:34 -------- d-----w- c:\program files\Fichiers communs\i4j_jres
2012-01-20 08:28 . 2012-01-20 08:28 81488 ----a-w- C:\WebInstaller.exe
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-07 19:42 . 2004-08-05 05:00 1347344 ------w- c:\windows\system32\msvbvm50.dll
2012-02-07 19:41 . 2012-02-07 19:41 1381512 ----a-w- C:\Risk_1.3_163.zip
2012-02-07 19:31 . 2012-02-07 19:30 1381512 ----a-w- C:\Risk_1.3.zip
2012-01-12 17:20 . 2005-03-02 18:07 1860096 ----a-w- c:\windows\system32\win32k.sys
2011-12-27 07:36 . 2011-12-27 07:35 12021760 ----a-w- C:\Ad-Aware96Install.msi
2011-12-26 14:14 . 2010-07-06 05:58 93360 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2011-12-17 19:43 . 2005-07-03 02:16 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43 . 2004-08-05 05:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43 . 2004-08-05 05:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22 . 2004-08-05 05:00 385024 ----a-w- c:\windows\system32\html.iec
2011-12-10 14:24 . 2010-04-28 13:31 20464 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-11-28 18:01 . 2010-06-29 08:12 41184 ----a-w- c:\windows\avastSS.scr
2011-11-28 18:01 . 2010-04-08 05:59 199816 ----a-w- c:\windows\system32\aswBoot.exe
2011-11-28 17:53 . 2011-03-13 09:21 435032 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-11-28 17:53 . 2010-04-08 06:00 314456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-11-28 17:52 . 2010-04-08 06:00 34392 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-11-28 17:52 . 2010-04-08 06:00 52952 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-11-28 17:52 . 2010-04-08 06:00 111320 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-11-28 17:51 . 2010-04-08 06:00 105176 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-11-28 17:51 . 2010-04-08 06:00 20568 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-11-28 17:48 . 2010-04-08 06:00 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-11-25 21:57 . 2005-03-02 18:10 293888 ----a-w- c:\windows\system32\winsrv.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-11-28 18:01 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-01-17 252296]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"SiSPower"="SiSPower.dll" [2005-08-25 49152]
"AspireService"="c:\program files\Acer\Acer eMode Management\AspireService.exe" [2005-09-29 114688]
"MediaSync"="c:\program files\Acer\Acer eConsole\MediaSync.exe" [2005-09-21 425984]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2005-11-16 397312]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Utility Tray.lnk - c:\windows\system32\sistray.exe [2010-2-26 262144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
.
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [13/03/2011 10:21 435032]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [08/04/2010 07:00 314456]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [08/04/2010 07:00 20568]
R3 fbxusb;Carte réseau virtuelle FreeBox USB;c:\windows\system32\drivers\fbxusb32.sys [26/02/2010 19:55 21344]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2012 11:35 136176]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;\??\c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys --> c:\program files\Lavasoft\Ad-Aware\KernExplorer.sys [?]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - INT15.SYS
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-02-02 10:34]
.
2012-02-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-02-02 10:34]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
IE: Télécharger avec Star Downloader - c:\program files\Star Downloader\sdie.htm
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab
FF - ProfilePath - c:\documents and settings\philippe\Application Data\Mozilla\Firefox\Profiles\6k146krt.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-18 23:10
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
.
C:\## aswSnx private storage
.
Scan terminé avec succès
Fichiers cachés: 1
.
**************************************************************************
.
Heure de fin: 2012-02-18 23:13:58
ComboFix-quarantined-files.txt 2012-02-18 22:13
.
Avant-CF: 34 325 364 736 octets libres
Après-CF: 34 290 839 552 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 0E57C262B5734014A4AD50A6FD486875

Sans point de restauration ou avec cette chose ne part pas et

C:\WINDOWS\system\RCDsetup.exe\%SYS%\OCXSETUP.WS4 ERREUR 42145

et

C:\windows\systèmes32\macromed\Flash\Flash6.ocx

ne part pas non plus.
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
ok comment va le pc ??
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
phil47ton
 
Bonjour,

Il fait moins de lenteurs, moins de ventilo et plus de rapidité d' exécution.

ça marche bien.

Et les deux trucs :
C:\WINDOWS\system\RCDsetup.exe\%SYS%\OCXSETUP.WS4 ERREUR 42145

et

C:\windows\systèmes32\macromed\Flash\Flash6.ocx

c' est grave? On ne peut rien faire pour réparer?
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
je vais faire des recherches concernant cela car la je sais pas donc je reviens vers toi mais si je tarde tu relance le sujet car je peux avoir zapper la réponse
0
Réponse 6 / 8
phil47ton
 
Bonsoir,

Une dernière chose : Suite à l' installation de Combofix la Console de récupération microsoft arrête le lancement de l' ordi deux secondes. Comment arrêter cela?
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, désolé pour l'attente , !!

concernant la console de récupéreation perso je te conseillerais de la conserver elle pourrait servir pour réparer windows si tu avais de gros problème !! mais si tu veux la supprimer tu le dis et je te guiderais !!

bon pour tes 2 truc je trouve pas vraiment de choses précise pour te dire , mais je pense plus à un problème de faut positif de avast !! pour vériffier cela tu vas faire analyser sur virus total les 2 choses et si vraiment pas bon on supprimera et si pas donnés comme infectieux tu pourras les mettre en exclusions dans avast pour qu'il de foute la paix avec cela !!

donc tu fais la précédure pour chaque fichier !!

C:\WINDOWS\system\RCDsetup.exe\%SYS%\OCXSETUP.WS4 ERREUR 42145

et

C:\windows\systèmes32\macromed\Flash\Flash6.ocx

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :ceux donnés en GRAS au dessus



double clique dessus pour le sélectionner

Clique sur envoyer le lien.( Send file )


Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
0
Réponse 7 / 8
phil47ton
 
Bonjour,
Le plus en retard c' est moi.

Bon si la console de récupération ne pose pas d' interférences avec les antivirus, antispy et routeur freebox je la garde.

Pour C:\windows\systèmes32\macromed\Flash\Flash6.ocx le fichier n' existe pas...

Pour C:\WINDOWS\system\RCDsetup.exe\%SYS%\OCXSETUP.WS4 Il y a un problème car RCDsetup.exe est un fichier et OCXSETUP.WS4 est un autre fichier.

Pour RCDsetup.exe voilà le rapport :

SHA256: 0cd519ac3cf0fc0ceebaba00a28788393d0addf60fe04d85935623198e1a7e13
SHA1: 1fc8f81cb160cd6130d7e8a62e7c01c32999e1f7
MD5: 7a794e0099633319cc9aaa202e44060f
File size: 337.9 KB ( 345983 bytes )
File name: RCDSETUP.EXE
File type: Win16 EXE
Detection ratio: 0 / 43
Analysis date: 2012-02-24 12:54:03 UTC ( 1 minute ago )
0
0
Antivirus Result Update
AhnLab-V3 - 20120222
AntiVir - 20120222
Antiy-AVL - 20120213
Avast - 20120223
AVG - 20120223
BitDefender - 20120223
ByteHero - 20120222
CAT-QuickHeal - 20120222
ClamAV - 20120223
Commtouch - 20120222
Comodo - 20120223
DrWeb - 20120223
Emsisoft - 20120223
eSafe - 20120221
eTrust-Vet - 20120222
F-Prot - 20120222
F-Secure - 20120223
Fortinet - 20120223
GData - 20120223
Ikarus - 20120223
Jiangmin - 20120222
K7AntiVirus - 20120222
Kaspersky - 20120223
McAfee - 20120223
McAfee-GW-Edition - 20120222
Microsoft - 20120222
NOD32 - 20120223
Norman - 20120222
nProtect - 20120222
Panda - 20120222
PCTools - 20120221
Prevx - 20120224
Rising - 20120223
Sophos - 20120223
SUPERAntiSpyware - 20120206
Symantec - 20120223
TheHacker - 20120222
TrendMicro - 20120222
TrendMicro-HouseCall - 20120223
VBA32 - 20120222
VIPRE - 20120222
ViRobot - 20120222
VirusBuster - 20120222

* Comments
* Additional information

No comments
More comments
Leave your comment...
?
Rich Text Area
Toolbar
Bold (Ctrl+B) Italic (Ctrl+I) Underline (Ctrl+U) Undo (Ctrl+Z) Redo (Ctrl+Y)
StylesStyles ?
Remove Formatting
Post comment

You have not signed in. Only registered users can leave comments, sign in and have a voice!
Sign in Join the community
An error occurred
ssdeep
6144:+MrGmdTlluHUdQ1rZRkSV+crTwz1XVI/A/vyYwwFKAC2ZzGdFY:+MU0uRbVzrkdVI/OvyFnVYSY
TrID
Generic Win/DOS Executable (49.5%)
DOS Executable Generic (49.5%)
VXD Driver (0.7%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ExifTool

MIMEType.................: application/octet-stream
FileType.................: Win16 EXE

First seen by VirusTotal
2007-10-28 02:01:39 UTC ( 4 ans, 4 mois ago )
Last seen by VirusTotal
2012-02-24 12:54:03 UTC ( 1 minute ago )
File names (max. 25)

1. RCDSETUP.EXE
2. RCDSETUP.EXE
3. RCDSETUP.EXE
4. RCDsetup.exe

Pour OCXSETUP.WS4 voilà le rapport :

SHA256: 018b9b7ac5b75fb3c8bcb9a0990284655f27b39073f0cce35028728bf6ac578b
SHA1: e78745bdcd97c2f8cc66eef0700d285c9e791018
MD5: e4e2cda998de53a16010e62db493c167
File size: 542 octets ( 542 bytes )
File name: OCXSETUP.WS4
File type: unknown
Detection ratio: 0 / 43
Analysis date: 2012-02-24 12:52:11 UTC ( 1 minute ago )
0
0
Antivirus Result Update
AhnLab-V3 - 20120224
AntiVir - 20120224
Antiy-AVL - 20120224
Avast - 20120223
AVG - 20120224
BitDefender - 20120224
ByteHero - 20120222
CAT-QuickHeal - 20120224
ClamAV - 20120224
Commtouch - 20120224
Comodo - 20120224
DrWeb - 20120224
Emsisoft - 20120224
eSafe - 20120223
eTrust-Vet - 20120224
F-Prot - 20120224
F-Secure - 20120224
Fortinet - 20120223
GData - 20120224
Ikarus - 20120224
Jiangmin - 20120223
K7AntiVirus - 20120222
Kaspersky - 20120224
McAfee - 20120224
McAfee-GW-Edition - 20120224
Microsoft - 20120224
NOD32 - 20120224
Norman - 20120224
nProtect - 20120224
Panda - 20120224
PCTools - 20120221
Prevx - 20120224
Rising - 20120224
Sophos - 20120224
SUPERAntiSpyware - 20120223
Symantec - 20120224
TheHacker - 20120224
TrendMicro - 20120224
TrendMicro-HouseCall - 20120224
VBA32 - 20120223
VIPRE - 20120224
ViRobot - 20120224
VirusBuster - 20120224

* Comments
* Additional information

No comments
More comments
Leave your comment...
?
Rich Text Area
Toolbar
Bold (Ctrl+B) Italic (Ctrl+I) Underline (Ctrl+U) Undo (Ctrl+Z) Redo (Ctrl+Y)
StylesStyles ?
Remove Formatting
Post comment

You have not signed in. Only registered users can leave comments, sign in and have a voice!
Sign in Join the community
An error occurred
ssdeep
12:zw2O1NpeNM0dNO+6tO9OCfCNtXX8QJa3Xe:E1kHV6tWBS
TrID
Unknown!
First seen by VirusTotal
2009-03-17 00:23:58 UTC ( 2 ans, 11 mois ago )
Last seen by VirusTotal
2012-02-24 12:52:11 UTC ( 1 minute ago )
File names (max. 25)

1. OCXSETUP.WS4
2. OCXSETUP.WS4
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
ok donc les fichier analyser sont clean donc je pense que c'est un faut positif de avast cela devrait rentrée dans l'ordre avec les mise à jour de avast , mais si tu veux tu peux aller sur le forum officiel de avast et leur poser la question https://forum.avast.com/index.php?board=23.0&language=french-utf8
0
phil47ton
 
bonjour,
Oui je vais m' occuper de ce faut positif avec le forum avast. Je te remercie pour et bonne continuation.
0
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, ok mais tu nous tiens au courant de l'évolution !!! merci
0
Réponse 8 / 8
jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 618
 
bonjour, si tes inquiétude sont lier avec ce qui est dans cela 
C:\systemvolumeinformation\_restore
il suffira de purger la restauration système !!
et puis ton pc est pas maintenu à jour car je vois adobe reader 7 et java tous comme avast qui ne sont pas sur la dernière version , comme hojackthis ne montre plus grand chose car trop obsolète !! si tu pouvais poster un zhpdiag pour voir plus claire , merci

Ouvre ce lien et télécharge ZHPDiag :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

cliques sur télécharger "celui du bas"

ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe

Enregistres le sur ton Bureau.

Une fois le téléchargement achevé

pour XP, double-clique sur ZHPDiag

pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

Cliques sur la loupe pour lancer l'analyse.

si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

Laisses l'outil travailler, il peut être assez long

A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Fermes ZHPDiag en fin d'analyse.

Pour me le transmettre clique sur ce lien :

https://www.cjoint.com/

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

ou directement en choisissant bureau et ZHPDiag.txt clique dessus

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

et si problème passe par celui ci : http://threat-rc.com/
ou
http://pjjoint.malekal.com/
-1

Discussions similaires

Cathy's Book, Le début, Les preuves?!
camsep33 -
Joris77 -

8 réponses
infection
gladiator1952 -
gladiator1952 -

6 réponses
suppose une infection
Shiva_0119 -
bazfile -

7 réponses
Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Infection pc
Nanie24 -
Nanie24 -

22 réponses