Gendarmerie nationale virus trojan fake Fermé

Question

Bonjour, 


Je suis confronté au virus Police et Gendarmerie Nationale qui me demande de payer car j'ai apparemment des fichiers a caractère pédo pornographique sur mon ordinateur.

J'ai lu plein de tuto qui disent de démarer en mode sans échec, roguekiller etc...

Oubliez cela tout de suite, le mode sans échec ne fonctionne pas, il redemarre le pc, simplement.

Du coup j'ai testé quelque chose avec hirens.boot, j'ai lancé un mini xp, scan antivir, redémarrage puis...toujours virus !

Quelqu'un aurait-il une solution à me proposer ? 
je souhaiterai, si possible, éviter de reformater.

merci d'avance !


Configuration: Windows 7 / Safari 534.7

Utilisateur anonyme · Answer

bonjour 

Fais une restauration systéme

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

Utilisateur anonyme · Answer

Redémarre en invites de commandes. Pour cela, redémarrez l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisissez invites de commandes en mode sans échec et appuyez sur la touche entrée du clavier.
    Une fois sur l'invite de commandes, tapez la commande : regedit
    Déroulez l'arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => SoftWare => Microsoft => Windows NT => CurrentVersion => Winlogon
        Ouvrez "Winlogon"
        A droite, chercher la valeur "Shell"; et vous devriez y trouver "explorer.exe", effacez tout et retaper "explorer.exe" (oui il faut remettre la même chose). 
    Fermer l'éditeur de registre
    Sur l'invites de commandes, saisir la commande : shutdown /r
    Redémarrez l'ordinateur en mode normal

Utilisateur anonyme · Answer

Je te conseille d'imprimer la procédure puisque tu vas démarrer à partir d'un CD spécial.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.



Étape 1: OTLPE (de OldTimer), préparation
Sur un autre PC, "bien portant", télécharger OTLPENet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

Exécute le, le brûlement du cd est automatique, répond oui à la question "Do you want burn the cd?"

Toujours sur le PC "bien portant", ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

netsvcs
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
consrv.dll
/md5stop

Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTLPE-1.txt
Fermer le Bloc-notes.


Copier ce fichier OTLPE-1.txt sur une clé USB de façon à pouvoir le transférer sur le PC "malade" via REATOGO.




Étape 2: OTLPE (de OldTimer), analyse

Modifier le BIOS du PC "malade" afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici (en français)

Faire redémarrer le PC "malade", qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE
Faire un double clic sur l'icône OTLPE.
Si le systeme d'exploitation est Vista tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
A la demande "Do you wish to load the remote registry", répondre Yes
A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

L'écran principal de OTLPE s'affiche:


Sur le PC "malade", ouvrir le fichier OTLPE-1.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad).

Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes" et choisir Coller.

Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".

Puis cliquer sur le bouton Run Scan:


Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Fermer la fenêtre de OTLPE. 

Le fichier rapport est sauvegardé dans C:\OTL.txt

Héberges ton rapport sur le site http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

Utilisateur anonyme · Answer

simple curiosité, que recherchez-vous dans ces résultats qui est susceptible de résoudre le problème ? 
je suis a la recherche du ou des fichiers susceptibles a foutr! le borde! dans ton systéme ;)

Apres le scan dis moi si en mode normal windows fonctionne.Si non on fera différemment.
Redemarre sur Reatogo , relançe OTLPE

 sous Custom Scan box Image copie_colle le contenu du cadre ci dessous

[en commençant bien à :OTL jusqu'à [emptytemp] inclus et cette fois ci clic RUNFIX

    :OTL
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 
[2011/12/27 06:11:30 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml     
[2012/03/09 18:06:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Apocalyptica\Application Data\PriceGong     
[2011/12/26 05:00:48 | 000,200,704 | R--- | C] () -- C:\WINDOWS\System32\WinSys.exe     
[2012/03/17 04:10:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Apocalyptica\Application Data\PriceGong     
[2012/03/17 14:00:35 | 000,000,000 | -HSD | C] -- C:\found.000 
IE - HKU\Apocalyptica_ON_C\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)     
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (facemoods.com BHO)     
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)     
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)     
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
 [2012/03/17 04:10:39 | 000,139,776 | ---- | M] () -- C:\WINDOWS\System32\0.38838924738420433h7i.exe
 [2011/12/26 05:00:48 | 000,208,896 | R--- | C] () -- C:\WINDOWS\System32\WinSys2.exe     
 O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)     
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com)     
O3 - HKU\Apocalyptica_ON_C\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)     
O3 - HKU\Apocalyptica_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)     
O4 - HKLM..\Run: [facemoods] C:\Program Files\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)     
[2012/03/17 14:02:03 | 000,000,248 | ---- | M] () -- C:\WINDOWS	asks\Scheduled Update for Ask Toolbar.job     
[2011/12/27 06:14:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Apocalyptica\Application Data\facemoods.com     
[2012/03/17 14:02:03 | 000,000,248 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job     
 O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\0.38838924738420433h7i.exe () 



Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt. << poste le


 Redemarre sur windows et fais moi un bref résumé.

Utilisateur anonyme · Answer

Tu as accés a ton bureau??

 
                          ******************************************** 
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

Utilisateur anonyme · Answer

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour - Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l'infection est d'avoir sur son ordinateur des logiciels non à jour.
Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l'infection de votre système.

*Télécharges SX Check&Update(de igor 51) sur ton Bureau.

 /!\ Déconnecte-toi, désactive ton anti-virus et ferme toutes applications en cours /!\

*Double-clique sur SXC&U.exe situé sur ton Bureau pour le lancer.

*Au menu principal, choisis l'option Rapport.

https://security-x.fr/img/public/CU/sxcu.png

*Poste le rapport qui s'affiche à ton écran.

/!\ Pense à réactiver ton antivirus /!\

Utilisateur anonyme · Answer

Bon, ok, apparemment, j'ai beaucoup qui n'est pas a jour...

Et oui voila la cause de ton infection............
Un exploit qui exploite les faiblesses du systéme.

Relances  SX Check&Update.
*Clique sur Update java et accepte la mise à jour.
*Clique sur Update Flash et accepte la mise à jour.
*Clique sur Update Adobe reader et accepte la mise à jour.
Enfin:
*Clique sur rapport et poste le nouveau rapport.

 Tutoriel

Utilisateur anonyme · Answer

Clique sur Update Flash et accepte la mise à jour.  

Java(TM) 6 Update 22 n'est pas à jour! 


* Télécharge : JavaRa.zip 
* Décompresse le fichier sur ton bureau (clique droit > Extraire tout.) 
* Double-clique sur le répertoire JavaRa obtenu. 
* Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)* Clique sur SearchFor Updates. 
* Sélectionne Update Using jucheck.exe puis clique sur Search. 
* Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
* Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
* Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  
                          ******************************************** 
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

Utilisateur anonyme · Answer

Tu as cliquer sur effacer les anciennes versions??

Utilisateur anonyme · Answer

* Télécharge ZHPDiag  ( de Nicolas coolman ).  
ou 
ZHPDiag  
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe 

                                                  *********************** 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\  
* Laisse toi guider lors de l'installation  
* Il se lancera automatiquement à la fin de l'installation  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Utilisateur anonyme · Answer

On va supprimer la version obsoléte de java et on va profiter de ce script pour retirer diverses infections

1/ Copie/colle les lignes suivantes en gras:
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
[HKCU\Software\PriceGong]     
[HKCU\Software\facemoods.com] 
[HKLM\Software\TENCENT]     
[HKLM\Software\facemoods.com] 
O43 - CFD: 27/12/2011 - 11:11:30 - [0,964] ----D- C:\Program Files\facemoods.com 
O69 - SBI: SearchScopes [HKCU] {0D7562AE-8EF6-416d-A838-AB665251703A} - (Facemoods Search) - http://start.facemoods.com     
O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (Web Search) - http://search.conduit.com     
[HKLM\Software\Classes\AppID\esrv.EXE] 
[HKLM\Software\Classes\escort.escortIEPane] 
[HKLM\Software\Classes\escort.escortIEPane.1] 
[HKLM\Software\Classes\escort.escrtBtn.1] 
[HKLM\Software\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]     
[HKLM\Software\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]     
[HKLM\Software\Classes\TypeLib\{B12E99ED-69BD-437C-86BE-C862B9E5444D}]     
[HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}]     
[HKLM\Software\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]     
[HKLM\Software\Tencent]     
[MD5.1D3B430DF78A7A6CD846724069727BF5] - (.Ask - Ask Updater.) -- C:\Program Files\Ask.com\Updater\Updater.exe   [1398440] [PID.240] 
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Favoris Bluetooth.lnk - Clé orpheline 
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Favoris Bluetooth.lnk - Clé orpheline 
O47 - AAKE:Key Export SP - "C:\Jeux\Commandos 3 - Destination Berlin\commandos3.exe" [Enabled] .(...) -- C:\Jeux\Commandos 3 - Destination Berlin\commandos3.exe (.not file.) 
O47 - AAKE:Key Export SP - "C:\Jeux\TrackMania 2\ManiaPlanet.exe" [Enabled] .(...) -- C:\Jeux\TrackMania 2\ManiaPlanet.exe (.not file.) 
O47 - AAKE:Key Export SP - "C:\Jeux\Earth 2160\Earth2160_NO_SSE.exe" [Enabled] .(...) -- C:\Jeux\Earth 2160\Earth2160_NO_SSE.exe (.not file.) 
O47 - AAKE:Key Export SP - "C:\Jeux\Earth 2160\Earth2160_SSE.exe" [Enabled] .(...) -- C:\Jeux\Earth 2160\Earth2160_SSE.exe (.not file.) 
O42 - Logiciel: Facemoods Toolbar - (.Pas de propriétaire.) [HKLM] -- facemoods     
O42 - Logiciel: KMPlayer Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}     
O42 - Logiciel: KMPlayer Toolbar Updater - (.Ask.com.) [HKCU] -- {79A765E1-C399-405B-85AF-466F52E918B0}     
[HKCU\Software\APN]     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKCU\Software\Ask.com]     
[HKCU\Software\AskToolbar]     
[HKCU\Software\ConduitSearchScopes]     
[HKLM\Software\APN]     
[HKLM\Software\AskToolbar]     
O43 - CFD: 18/03/2012 - 04:07:04 - [1,818] ----D- C:\Program Files\Ask.com     
O43 - CFD: 02/02/2012 - 12:59:52 - [0,609] ----D- C:\Program Files\Conduit     
O43 - CFD: 29/12/2011 - 15:32:58 - [7,724] ----D- C:\Documents and Settings\Apocalyptica\Local Settings\Application Data\AskToolbar     
O43 - CFD: 02/02/2012 - 12:59:52 - [0,156] ----D- C:\Documents and Settings\Apocalyptica\Local Settings\Application Data\Conduit     
[HKLM\Software\Classes\AppID\GenericAskToolbar.DLL] 
[HKLM\Software\Classes\esrv.escrtSrvc] 
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd] 
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1] 
[HKLM\Software\Classes\Toolbar.ct2504091] 
[HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]     
[HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]     
[HKLM\Software\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE}]     
[HKLM\Software\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E}]     
[HKLM\Software\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}]     
[HKLM\Software\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486b-A045-B233BD0DA8FC}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486b-A045-B233BD0DA8FC}]     
[HKLM\Software\Classes\Interface\{6A934270-717F-4BC3-BA59-BC9BED47A8D2}]     
[HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}]     
[HKLM\Software\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018}]     
[HKLM\Software\Classes\Interface\{79B13431-CCAC-4097-8889-D0289E5E924F}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]     
[HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]     
[HKLM\Software\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}]     
[HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]     
[HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}]     
[HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]     
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]     
[HKLM\Software\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}]     
[HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
[HKLM\Software\Classes\Interface\{C1C2FC43-F042-4F17-AEDB-C5ABF3B42E4B}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}]     
[HKLM\Software\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}]     
[HKLM\Software\Classes\Interface\{F7EC6286-297C-4981-9DCC-FD7F57BC24C9}]     
[HKLM\Software\Google\Chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif] 
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF] 
[HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF] 
[HKCU\Software\APN]     
[HKLM\Software\APN]     
[HKCU\Software\Ask.com]     
[HKCU\Software\Ask.com]     
[HKCU\Software\AskToolbar]     
[HKLM\Software\AskToolbar]     
[HKCU\Software\ConduitSearchScopes]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}]     
[HKLM\Software\Classes\Toolbar.CT2504091] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:ApnUpdater 
C:\Program Files\Ask.com     
C:\Program Files\Conduit     
C:\Program Files\facemoods.com     
C:\Documents and Settings\Apocalyptica\Local Settings\Application Data\AskToolbar     
C:\Documents and Settings\Apocalyptica\Local Settings\Application Data\Conduit     
O42 - Logiciel: Facemoods Toolbar - (.Pas de propriétaire.) [HKLM] -- facemoods     
O42 - Logiciel: KMPlayer Toolbar - (.Ask.com.) [HKLM] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}     
O42 - Logiciel: KMPlayer Toolbar Updater - (.Ask.com.) [HKCU] -- {79A765E1-C399-405B-85AF-466F52E918B0}     
[HKCU\Software\APN]     
[HKCU\Software\AppDataLow\Software\Conduit]     
[HKCU\Software\Ask.com]     
[HKCU\Software\AskToolbar]     
[HKCU\Software\ConduitSearchScopes]     
[HKLM\Software\APN]     
[HKLM\Software\AskToolbar]     
O43 - CFD: 18/03/2012 - 04:07:04 - [1,818] ----D- C:\Program Files\Ask.com     
O43 - CFD: 02/02/2012 - 12:59:52 - [0,609] ----D- C:\Program Files\Conduit     
O43 - CFD: 29/12/2011 - 15:32:58 - [7,724] ----D- C:\Documents and Settings\Apocalyptica\Local Settings\Application Data\AskToolbar     
O43 - CFD: 02/02/2012 - 12:59:52 - [0,156] ----D- C:\Documents and Settings\Apocalyptica\Local Settings\Application Data\Conduit     
[HKLM\Software\Classes\AppID\GenericAskToolbar.DLL] 
[HKLM\Software\Classes\esrv.escrtSrvc] 
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd] 
[HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1] 
[HKLM\Software\Classes\Toolbar.ct2504091] 
[HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}]     
[HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]     
[HKLM\Software\Classes\Interface\{542FA950-C57A-4E17-B3E1-D935DFE15DEE}]     
[HKLM\Software\Classes\Interface\{5B035F86-41B5-40F1-AAAD-3D219F30244E}]     
[HKLM\Software\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}]     
[HKLM\Software\Classes\Interface\{6365AC7B-9920-4D8B-AF5D-3BDFEAC340A8}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486b-A045-B233BD0DA8FC}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{64182481-4F71-486b-A045-B233BD0DA8FC}]     
[HKLM\Software\Classes\Interface\{6A934270-717F-4BC3-BA59-BC9BED47A8D2}]     
[HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}]     
[HKLM\Software\Classes\Interface\{74C012C4-00FB-4F04-9AFB-4AD5449D2018}]     
[HKLM\Software\Classes\Interface\{79B13431-CCAC-4097-8889-D0289E5E924F}]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]     
[HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}]     
[HKLM\Software\Classes\Interface\{981334CB-7B8B-431F-B86D-67B7426B125B}]     
[HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]     
[HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}]     
[HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]     
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]     
[HKLM\Software\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}]     
[HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}]     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]     
[HKLM\Software\Classes\Interface\{C1C2FC43-F042-4F17-AEDB-C5ABF3B42E4B}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{DB4E9724-F518-4dfd-9C7C-78B52103CAB9}]     
[HKLM\Software\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}]     
[HKLM\Software\Classes\Interface\{F7EC6286-297C-4981-9DCC-FD7F57BC24C9}]     
[HKLM\Software\Google\Chrome\Extensions\ihflimipbcaljfnojhhknppphnnciiif] 
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF] 
[HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF] 
[HKCU\Software\APN]     
[HKLM\Software\APN]     
[HKCU\Software\Ask.com]     
[HKCU\Software\Ask.com]     
[HKCU\Software\AskToolbar]     
[HKLM\Software\AskToolbar]     
[HKCU\Software\ConduitSearchScopes]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Toolbar] 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}]     
[HKLM\Software\Classes\Toolbar.CT2504091] 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:ApnUpdater 
C:\Program Files\Ask.com     
C:\Program Files\Conduit     
C:\Program Files\facemoods.com     
C:\Documents and Settings\Apocalyptica\Local Settings\Application Data\AskToolbar     
C:\Documents and Settings\Apocalyptica\Local Settings\Application Data\Conduit     
O42 - Logiciel: Java 6 Update 22 - (.Oracle.) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216022F0}    
EmptyTemp
FirewallRaz 
--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Gendarmerie nationale virus trojan fake

11 réponses

Discussions similaires